Título: CISA alerta sobre vulnerabilidade Dassault RCE explorada ativamente - Against Invaders - Notícias de CyberSecurity para humanos.
Data: 2025-09-12 17:16:28
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/cisa-alerta-sobre-vulnerabilidade-dassault-rce-explorada-ativamente-against-invaders-noticias-de-cybersecurity-para-humanos/854/

A Ag&ecirc;ncia de Seguran&ccedil;a Cibern&eacute;tica e Infraestrutura dos EUA (CISA) est&aacute; alertando sobre hackers que exploram uma falha cr&iacute;tica de execu&ccedil;&atilde;o remota de c&oacute;digo no DELMIA Apriso, uma solu&ccedil;&atilde;o de gerenciamento de opera&ccedil;&otilde;es de fabrica&ccedil;&atilde;o (MOM) e execu&ccedil;&atilde;o (MES) da empresa francesa Dassault Syst&egrave;mes.
A ag&ecirc;ncia acrescentou que a vulnerabilidade, rastreada como CVE-2025-5086 e classificado com uma pontua&ccedil;&atilde;o de gravidade cr&iacute;tica (CVSS v3: 9.0), para as Vulnerabilidades Exploradas Conhecidas (KEV).
O DELMIA Apriso &eacute; utilizado em processos de produ&ccedil;&atilde;o para digitaliza&ccedil;&atilde;o e monitoramento. As empresas em todo o mundo confiam nele para programar a produ&ccedil;&atilde;o, para o gerenciamento da qualidade, alocar recursos, o gerenciamento de armaz&eacute;ns e para a integra&ccedil;&atilde;o entre equipamentos de produ&ccedil;&atilde;o e aplicativos de neg&oacute;cios.
&Eacute; normalmente implantado nas divis&otilde;es automotiva, aeroespacial, eletr&ocirc;nica, de alta tecnologia e de maquin&aacute;rio industrial, onde o controle de alta qualidade, rastreabilidade, conformidade e um alto n&iacute;vel de padroniza&ccedil;&atilde;o de processos s&atilde;o cr&iacute;ticos.
A falha &eacute; uma vulnerabilidade de desserializa&ccedil;&atilde;o de dados n&atilde;o confi&aacute;veis que pode levar &agrave; execu&ccedil;&atilde;o remota de c&oacute;digo (RCE).
O fornecedor divulgou o problema em 2 de junho, observando que afeta todas as vers&otilde;es do DELMIA Apriso desde o lan&ccedil;amento 2020 at&eacute; o lan&ccedil;amento 2025, sem compartilhar muitos detalhes.
Em 3 de setembro, pesquisador de amea&ccedil;as Johannes Ullrich publicou uma postagem no SANS ISC divulgando a observa&ccedil;&atilde;o de tentativas de explora&ccedil;&atilde;o ativa aproveitando o CVE-2025-5086.
A explora&ccedil;&atilde;o observada envolve o envio de uma solicita&ccedil;&atilde;o SOAP maliciosa para endpoints vulner&aacute;veis que carrega e executa um execut&aacute;vel .NET codificado em Base64 e compactado com GZIP incorporado no XML.
A carga &uacute;til real &eacute; um execut&aacute;vel do Windows marcado como malicioso por An&aacute;lise h&iacute;brida e sinalizado apenas por um motor em V&iacute;rusTotal.
As solicita&ccedil;&otilde;es maliciosas foram observadas com origem no IP 156.244.33[.]162, provavelmente associado a varreduras automatizadas.
A CISA n&atilde;o vinculou ao relat&oacute;rio Ullrich, ent&atilde;o n&atilde;o est&aacute; claro se este &eacute; o relat&oacute;rio que os levou a adicionar CVE-2025-5086 ao KEV, ou se eles tivessem uma fonte separada confirmando a explora&ccedil;&atilde;o.
A ag&ecirc;ncia governamental dos EUA agora est&aacute; dando ao setor empresarial federal at&eacute; 2 de outubro para aplicar as atualiza&ccedil;&otilde;es ou mitiga&ccedil;&otilde;es de seguran&ccedil;a dispon&iacute;veis ou parar de usar o DELMIA Apriso.
Embora a orienta&ccedil;&atilde;o do BOD 22-01 seja vinculativa apenas para ag&ecirc;ncias federais, organiza&ccedil;&otilde;es privadas em todo o mundo tamb&eacute;m devem considerar o aviso da CISA e tomar as medidas apropriadas.