Inhalt
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat zusammen mit VulnCheck die aktive Ausnutzung kritischer Sicherheitslücken bestätigt, die die Plattformen Dassault Systèmes DELMIA Apriso und XWiki betreffen. Diese Schwachstellen stellen ernsthafte Risiken dar, da Angreifer beliebigen Code ausführen oder unautorisierten privilegierten Zugriff erlangen können. Konkret handelt es sich bei CVE-2025-6204 um eine Code-Injection-Schwachstelle in DELMIA Apriso, bewertet mit einem CVSS-Wert von 8,0, die die Ausführung beliebigen Codes ermöglicht. Daneben betrifft CVE-2025-6205, mit einem Wert von 9,1, fehlende Autorisierungsprüfungen, die einem Angreifer den Zugriff auf privilegierte Anwendungsfunktionen ohne entsprechende Berechtigung erlauben könnten.\n\nBeide Probleme betreffen DELMIA Apriso-Versionen von Release 2020 bis Release 2025 und wurden von Dassault Systèmes Anfang August 2025 gepatcht. Bemerkenswert ist, dass diese Schwachstellen kurz nach der Aufnahme in den Known Exploited Vulnerabilities (KEV)-Katalog erfolgten, nachdem die CISA bereits eine andere kritische Schwachstelle (CVE-2025-5086) im selben Produkt gemeldet hatte, bei der ebenfalls Ausnutzungsversuche vom SANS Internet Storm Center festgestellt wurden. Ob diese Angriffe zusammenhängen, ist derzeit unklar.\n\nParallel dazu betrifft die XWiki-Schwachstelle CVE-2025-24893, mit einem CVSS-Wert von 9,8, eine unsachgemäße Neutralisierung von Eingaben bei dynamischen Auswertungaufrufen, allgemein als eval-Injection bezeichnet. Diese Schwachstelle erlaubt es jedem Gastbenutzer, über Anfragen an den Endpunkt "/bin/get/Main/SolrSearch" remote Code auszuführen. VulnCheck berichtet, dass diese Schwachstelle bereits seit März 2025 ausgenutzt wird. Die Ausnutzung folgt einer zweistufigen Angriffskette, die darauf abzielt, einen Kryptowährungs-Miner auf dem System des Opfers zu installieren.\n\nDetails von VulnCheck zeigen, dass Angreifer, die auf eine IP-Adresse mit Geolokalisierung in Vietnam zurückverfolgt werden, einen zweiphasigen Prozess durchführen, der etwa 20 Minuten auseinanderliegt. Die erste Phase legt eine Downloader-Datei auf der Festplatte ab, die zweite führt diese aus. Der Downloader verwendet wget, um einen weiteren Downloader namens "x640" von einem verdächtigen Server herunterzuladen, der dann zwei weitere Payloads lädt: x521, der den eigentlichen Kryptowährungs-Miner abruft, und x522, der konkurrierende Miner wie XMRig und Kinsing beendet, bevor der Miner für den Mining-Pool c3pool.org gestartet wird.\n\nDie bösartige IP-Adresse hat eine Vorgeschichte von Brute-Force-Angriffen und wurde zuletzt am 26. Oktober 2025 gemeldet. Angesichts der aktiven Ausnutzung wird Agenturen und Nutzern betroffener Versionen dringend empfohlen, die bereitgestellten Patches sofort anzuwenden. Beispielsweise wurden mehrere Bundesbehörden des Federal Civilian Executive Branch (FCEB) verpflichtet, die DELMIA Apriso-Schwachstellen bis zum 18. November 2025 zu beheben, was die Schwere und Dringlichkeit dieser Bedrohung unterstreicht.\n\nDie anhaltende Ausnutzung dieser kritischen Schwachstellen verdeutlicht das anhaltende Risiko für Organisationen, die auf DELMIA Apriso- und XWiki-Produkte angewiesen sind. Nutzer sollten wachsam bleiben und das Patchen priorisieren, um weitere Kompromittierungen zu verhindern, insbesondere angesichts der sich entwickelnden Bedrohungen durch Ransomware und Kryptomining, die mit diesen Schwachstellen verbunden sind.
