Các tác nhân đe dọa đang tích cực khai thác nhiều lỗ hổng bảo mật ảnh hưởng đến Dassault Systèmes DELMIA Apriso và XWiki, theo các cảnh báo được đưa ra bởi Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và VulnCheck.
Các lỗ hổng được liệt kê dưới đây:
- CVE-2025-6204 (CVSS score: 8.0) - Một lỗ hổng code injection trong Dassault Systèmes DELMIA Apriso có thể cho phép kẻ tấn công thực thi mã tùy ý.
- CVE-2025-6205 (CVSS score: 9.1) - Một lỗ hổng missing authorization trong Dassault Systèmes DELMIA Apriso có thể cho phép kẻ tấn công giành quyền truy cập đặc quyền vào ứng dụng.
- CVE-2025-24893 (CVSS score: 9.8) - Một lỗ hổng improper neutralization of input trong một dynamic evaluation call (còn gọi là eval injection) trong XWiki có thể cho phép bất kỳ người dùng khách nào thực hiện remote code execution tùy ý thông qua yêu cầu đến endpoint "/bin/get/Main/SolrSearch".
Cả CVE-2025-6204 và CVE-2025-6205 đều ảnh hưởng đến các phiên bản DELMIA Apriso từ Release 2020 đến Release 2025. Chúng đã được Dassault Systèmes khắc phục vào đầu tháng 8.
Điều thú vị là, việc bổ sung hai lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV) diễn ra chỉ hơn một tháng sau khi CISA gắn cờ việc khai thác một lỗ hổng nghiêm trọng khác trong cùng sản phẩm (CVE-2025-5086, CVSS score: 9.0), một tuần sau khi SANS Internet Storm Center phát hiện các nỗ lực trong thực tế. Hiện vẫn chưa rõ liệu những nỗ lực này có liên quan đến nhau hay không.
VulnCheck, đơn vị đã phát hiện các nỗ lực khai thác nhắm vào CVE-2025-24893, cho biết lỗ hổng này đang bị lạm dụng như một phần của chuỗi tấn công hai giai đoạn nhằm phát tán một công cụ đào tiền điện tử. Theo CrowdSec và Cyble, lỗ hổng này được cho là đã bị vũ khí hóa trong các cuộc tấn công thực tế từ tháng 3 năm 2025.
"Chúng tôi đã quan sát thấy nhiều nỗ lực khai thác nhắm vào các máy chủ XWiki canary của chúng tôi đến từ một kẻ tấn công được định vị ở Việt Nam," Jacob Baines của VulnCheck cho biết. "Việc khai thác diễn ra theo quy trình hai bước cách nhau ít nhất 20 phút: bước đầu tiên dàn dựng một downloader (ghi một tệp vào đĩa), và bước thứ hai sau đó sẽ thực thi nó."
Payload sử dụng wget để tải một downloader ("x640") từ "193.32.208[.]24:8080" và ghi nó vào vị trí "/tmp/11909". Downloader này, sau đó, chạy các lệnh shell để tìm nạp hai payload bổ sung từ cùng một máy chủ:
- x521, tải công cụ đào tiền điện tử nằm tại "193.32.208[.]24:8080/rDuiQRKhs5/tcrond"
- x522, tiêu diệt các công cụ đào cạnh tranh như XMRig và Kinsing, và khởi chạy công cụ đào với cấu hình c3pool.org
Lưu lượng tấn công, theo VulnCheck, bắt nguồn từ một địa chỉ IP được định vị ở Việt Nam ("123.25.249[.]88") và đã bị gắn cờ là độc hại trong AbuseIPDB vì liên quan đến các nỗ lực brute-force gần đây nhất vào ngày 26 tháng 10 năm 2025.
Trước tình hình khai thác đang diễn ra, người dùng được khuyến nghị áp dụng các bản cập nhật cần thiết càng sớm càng tốt để bảo vệ chống lại các mối đe dọa. Một số cơ quan Hành pháp Dân sự (FCEB) được yêu cầu khắc phục các lỗ hổng DELMIA Apriso trước ngày 18 tháng 11 năm 2025.
