米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、フランスのDassault Systèmes社が提供する製造オペレーション管理(MOM)および実行(MES)ソリューション「DELMIA Apriso」に存在する重大なリモートコード実行(RCE)脆弱性がハッカーに悪用されているとして警告を発しています。
同庁は、この脆弱性(CVE-2025-5086、重大度スコア(CVSS v3: 9.0))を既知悪用脆弱性(KEV)カタログに追加しました。
DELMIA Aprisoは、デジタル化や監視のための生産プロセスに使用されています。世界中の企業が、生産スケジューリング、品質管理、リソース割り当て、倉庫管理、生産設備と業務アプリケーション間の統合などに利用しています。
主に自動車、航空宇宙、電子機器、ハイテク、産業機械部門などで導入されており、高度な品質管理、トレーサビリティ、コンプライアンス、プロセスの標準化が重要な現場で利用されています。
この脆弱性は、信頼されていないデータのデシリアライズに起因し、リモートコード実行(RCE)につながる可能性があります。
ベンダーは6月2日にこの問題を公表し、DELMIA Aprisoの2020リリースから2025リリースまでの全バージョンが影響を受けるとしていますが、詳細は多く公開されていません。
9月3日、脅威リサーチャーのJohannes Ullrich氏が、CVE-2025-5086を利用した実際の悪用試行が観測されたことをSANS ISCで公表しました。
観測された攻撃手法は、脆弱なエンドポイントに対して悪意のあるSOAPリクエストを送信し、XML内に埋め込まれたBase64エンコード・GZIP圧縮された.NET実行ファイルを読み込んで実行させるというものです。
実際のペイロードはWindows実行ファイルであり、Hybrid Analysisで悪意のあるものと判定され、VirusTotalでは1つのエンジンのみが検知しています。
悪意のあるリクエストは、主にIPアドレス156.244.33[.]162から発信されており、自動スキャンに関連している可能性が高いとみられます。
CISAはUllrich氏のレポートへのリンクを示していないため、これがCVE-2025-5086をKEVに追加するきっかけとなったか、あるいは別の情報源で悪用を確認したのかは不明です。
米国政府機関は、連邦企業部門に対し、10月2日までに利用可能なセキュリティアップデートまたは緩和策を適用するか、DELMIA Aprisoの使用を中止するよう求めています。
BOD 22-01のガイダンスは連邦機関のみに拘束力がありますが、世界中の民間組織もCISAの警告を考慮し、適切な対策を講じるべきです。
