美国网络安全和基础设施安全局(CISA)警告,黑客正利用法国达索系统(Dassault Systèmes)制造运营管理(MOM)与执行(MES)解决方案DELMIA Apriso中的关键远程代码执行漏洞发起攻击。
该漏洞编号CVE-2025-5086,评级为严重(CVSS v3:9.0),已被纳入CISA已知被利用漏洞(KEV)列表。DELMIA Apriso广泛应用于生产流程数字化与监控,全球企业依赖其进行生产调度、质量管理、资源分配、仓库管理及生产设备与业务系统集成,尤其在汽车、航空航天、电子、高科技和工业机械领域——这些行业对质量控制、可追溯性、合规性和流程标准化要求极高。
漏洞根源为未信任数据反序列化缺陷,可直接导致远程代码执行(RCE)。供应商于6月2日披露该问题,确认影响2020至2025全系列版本,但未公开技术细节。
9月3日,SANS ISC研究员Johannes Ullrich发布报告,证实该漏洞已被活跃利用:攻击者向易受攻击的端点发送恶意SOAP请求,其中嵌入Base64编码、GZIP压缩的.NET可执行文件,触发后加载并执行 payload。Hybrid Analysis已标记该 payload 为恶意文件,但VirusTotal仅1款引擎能检测——显示其强规避性。
监测到恶意请求源自IP 156.244.33[.]162,疑似关联自动化扫描攻击。CISA未明确是否基于此报告将漏洞纳入KEV,不排除存在其他独立利用证据。
CISA要求联邦机构在10月2日前应用安全更新或缓解措施,否则需停用DELMIA Apriso。尽管BOD 22-01指南仅对联邦部门有约束力,CISA强烈建议全球私营组织同步采取行动,避免成为攻击目标。
发表评论
您还未登录,请先登录。
登录