Código HTML do Conteúdo
Post: CISA alerta sobre vulnerabilidade Dassault RCE explorada ativamente - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) está alertando sobre hackers que exploram uma falha crítica de execução remota de código no DELMIA Apriso, uma solução de gerenciamento de operações de fabricação (MOM) e execução (MES) da empresa francesa Dassault Systèmes.</p>
<p>A agência acrescentou que a vulnerabilidade, rastreada como <a href="https://nvd.nist.gov/vuln/detail/CVE-2025-5086" rel="nofollow noopener" target="_blank">CVE-2025-5086</a> e classificado com uma pontuação de gravidade crítica (CVSS v3: 9.0), para as Vulnerabilidades Exploradas Conhecidas (KEV).</p>
<p>O DELMIA Apriso é utilizado em processos de produção para digitalização e monitoramento. As empresas em todo o mundo confiam nele para programar a produção, para o gerenciamento da qualidade, alocar recursos, o gerenciamento de armazéns e para a integração entre equipamentos de produção e aplicativos de negócios.</p>
<p>É normalmente implantado nas divisões automotiva, aeroespacial, eletrônica, de alta tecnologia e de maquinário industrial, onde o controle de alta qualidade, rastreabilidade, conformidade e um alto nível de padronização de processos são críticos.</p>
<p>A falha é uma vulnerabilidade de desserialização de dados não confiáveis que pode levar à execução remota de código (RCE).</p>
<p>O fornecedor <a href="https://www.3ds.com/trust-center/security/security-advisories/cve-2025-5086" rel="nofollow noopener" target="_blank">divulgou o problema</a> em 2 de junho, observando que afeta todas as versões do DELMIA Apriso desde o lançamento 2020 até o lançamento 2025, sem compartilhar muitos detalhes.</p>
<p>Em 3 de setembro, pesquisador de ameaças <a href="https://isc.sans.edu/diary/Exploit+Attempts+for+Dassault+DELMIA+Apriso+CVE20255086/32256/" rel="nofollow noopener" target="_blank">Johannes Ullrich</a> publicou uma postagem no SANS ISC divulgando a observação de tentativas de exploração ativa aproveitando o CVE-2025-5086.</p>
<p>A exploração observada envolve o envio de uma solicitação SOAP maliciosa para endpoints vulneráveis que carrega e executa um executável .NET codificado em Base64 e compactado com GZIP incorporado no XML.</p>
<p>A carga útil real é um executável do Windows marcado como malicioso por <a href="https://hybrid-analysis.com/sample/292ea9dbc5a1d15b769edb5df1602418931122455223081064ad7ea4e8ab6821/68b8504446b83fb2480c50bd" rel="nofollow noopener" target="_blank">Análise híbrida</a> e sinalizado apenas por um motor em <a href="https://www.virustotal.com/gui/file/292ea9dbc5a1d15b769edb5df1602418931122455223081064ad7ea4e8ab6821" rel="nofollow noopener" target="_blank">VírusTotal</a>.</p>
<p>As solicitações maliciosas foram observadas com origem no IP 156.244.33[.]162, provavelmente associado a varreduras automatizadas.</p>
<p>A CISA não vinculou ao relatório Ullrich, então não está claro se este é o relatório que os levou a <a href="https://www.cisa.gov/news-events/alerts/2025/09/11/cisa-adds-one-known-exploited-vulnerability-catalog" rel="nofollow noopener" target="_blank">adicionar CVE-2025-5086 ao KEV</a>, ou se eles tivessem uma fonte separada confirmando a exploração.</p>
<p>A agência governamental dos EUA agora está dando ao setor empresarial federal até 2 de outubro para aplicar as atualizações ou mitigações de segurança disponíveis ou parar de usar o DELMIA Apriso.</p>
<p>Embora a orientação do BOD 22-01 seja vinculativa apenas para agências federais, organizações privadas em todo o mundo também devem considerar o aviso da CISA e tomar as medidas apropriadas.</p>
<p><a href="https://hubs.li/Q03B5Kw_0" rel="noopener sponsored" target="_blank"><br />
<img decoding="async" alt="Relatório Picus Blue 2025" src="https://datalake.azaeo.com/wp-content/uploads/2025/08/blue-report-2025.jpg"><br />
</a>
</p>
</div></div>