Bedreigingsactoren maken actief misbruik van meerdere beveiligingsfouten die van invloed zijn op Dassault Systèmes DELMIA Apriso en XWiki, volgens waarschuwingen van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en VulnCheck.
De kwetsbaarheden worden hieronder vermeld:
- CVE-2025-6204 (CVSS-score: 8.0) – Een kwetsbaarheid voor code-injectie in Dassault Systèmes DELMIA Apriso waardoor een aanvaller willekeurige code kan uitvoeren.
- CVE-2025-6205 (CVSS-score: 9.1) – Een ontbrekend autorisatieprobleem in Dassault Systèmes DELMIA Apriso waardoor een aanvaller geprivilegieerde toegang tot de applicatie zou kunnen krijgen.
- CVE-2025-24893 (CVSS-score: 9,8) – Een onjuiste neutralisatie van invoer in een dynamische evaluatieaanroep (ook wel eval-injectie genoemd) in XWiki waardoor elke gastgebruiker willekeurige externe code kan uitvoeren via een verzoek aan het “/bin/get/Main/SolrSearch”-eindpunt.
Zowel CVE-2025-6204 als CVE-2025-6205 zijn van invloed op DELMIA Apriso-versies van release 2020 tot en met release 2025. Ze zijn begin augustus door Dassault Systèmes aangepakt.
Interessant genoeg komt de toevoeging van de twee tekortkomingen aan de Known Exploited Vulnerabilities (KEV)-catalogus iets meer dan een maand nadat CISA de exploitatie van een andere kritieke fout in hetzelfde product (CVE-2025-5086, CVSS-score: 9,0) heeft opgemerkt, een week nadat het SANS Internet Storm Center in-the-wild pogingen heeft gedetecteerd. Het is momenteel niet bekend of deze inspanningen verband houden.
VulnCheck, dat exploitatiepogingen detecteerde gericht op CVE-2025-24893, zei dat de kwetsbaarheid wordt misbruikt als onderdeel van een aanvalsketen in twee fasen die een cryptocurrency-mijnwerker levert. Volgens CrowdSec en Cyble zou de kwetsbaarheid al in maart 2025 zijn gebruikt bij aanvallen in de echte wereld.
“We hebben meerdere exploitpogingen tegen onze XWiki-kanaries waargenomen, afkomstig van een aanvaller die zich in Vietnam bevond”, aldus Jacob Baines van VulnCheck. “De exploitatie verloopt in een workflow van twee passages, met een tussenpoos van minstens twintig minuten: de eerste pass faseert een downloader (schrijft een bestand naar schijf), en de tweede pass voert deze later uit.”
De payload gebruikt wget om een downloader (“x640”) op te halen uit “193.32.208(.)24:8080” en deze naar de locatie “/tmp/11909” te schrijven. De downloader voert op zijn beurt shell-opdrachten uit om twee extra payloads van dezelfde server op te halen:
- x521, die de cryptocurrency-mijnwerker ophaalt die zich op “193.32.208(.)24:8080/rDuiQRKhs5/tcrond” bevindt
- x522, dat concurrerende mijnwerkers zoals XMRig en Kinsing doodt, en de mijnwerker lanceert met een c3pool.org-configuratie
Het aanvalsverkeer is volgens VulnCheck afkomstig van een IP-adres met geolocatie naar Vietnam (“123.25.249(.)88”) en is in AbuseIPDB als kwaadaardig gemarkeerd vanwege brute-force-pogingen op 26 oktober 2025.
In het licht van actieve exploitatie wordt gebruikers geadviseerd om de noodzakelijke updates zo snel mogelijk door te voeren om zich tegen bedreigingen te beschermen. Verschillende instanties van de Civilian Executive Branch (FCEB) moeten de DELMIA Apriso-fouten vóór 18 november 2025 verhelpen.
