Exploits Activos Afectan a Dassault y XWiki — CISA Confirma Fallas Críticas Bajo Ataque

La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA), junto con VulnCheck, ha confirmado la explotación activa de fallas críticas de seguridad que afectan a las plataformas Dassault Systèmes DELMIA Apriso y XWiki. Estas vulnerabilidades representan riesgos graves, permitiendo a los atacantes ejecutar código arbitrario o obtener acceso privilegiado no autorizado. Específicamente, CVE-2025-6204 es una falla de inyección de código en DELMIA Apriso, calificada con una puntuación CVSS de 8.0, que permite la ejecución arbitraria de código. Junto a esta, CVE-2025-6205, con una puntuación de 9.1, implica la ausencia de verificaciones de autorización que podrían permitir a un atacante acceder a funciones privilegiadas de la aplicación sin el permiso adecuado. \n\nAmbos problemas afectan a las versiones de DELMIA Apriso desde la Versión 2020 hasta la Versión 2025 y fueron parchados por Dassault Systèmes a principios de agosto de 2025. Notablemente, estas vulnerabilidades se añadieron al catálogo de Vulnerabilidades Conocidas Explotadas (KEV) poco después de que CISA ya hubiera señalado otra falla crítica (CVE-2025-5086) en el mismo producto, la cual también presentó intentos de explotación detectados por el Centro de Tormentas de Internet SANS. No está claro en esta etapa si estos ataques están relacionados.\n\nEn paralelo, la vulnerabilidad de XWiki CVE-2025-24893, con una puntuación CVSS de 9.8, implica una neutralización inadecuada de entradas en llamadas de evaluación dinámica, comúnmente conocida como inyección eval. Esta falla permite a cualquier usuario invitado ejecutar código remotamente mediante solicitudes al endpoint "/bin/get/Main/SolrSearch". VulnCheck informa que esta vulnerabilidad en particular ha sido utilizada como arma desde tan temprano como marzo de 2025. La explotación sigue una cadena de ataque en dos etapas diseñada para instalar un minero de criptomonedas en el sistema de la víctima.\n\nLos detalles de VulnCheck revelan que los atacantes, rastreados hasta una IP geolocalizada en Vietnam, llevan a cabo un proceso de dos pasadas separadas por aproximadamente 20 minutos. La primera pasada prepara un archivo descargador en el disco, mientras que la segunda pasada lo ejecuta. El descargador usa wget para obtener otro descargador llamado "x640" desde un servidor sospechoso, que luego descarga dos cargas adicionales: x521, que recupera el minero de criptomonedas real, y x522, que termina con mineros competidores como XMRig y Kinsing antes de lanzar el minero configurado para el pool de minería c3pool.org.\n\nLa dirección IP maliciosa tiene un historial de intentos de ataques de fuerza bruta, señalados recientemente hasta el 26 de octubre de 2025. Dada la explotación activa, se insta encarecidamente a las agencias y usuarios que ejecutan versiones afectadas a aplicar los parches proporcionados de inmediato. Por ejemplo, varias agencias del Poder Ejecutivo Civil Federal (FCEB) han sido obligadas a remediar las vulnerabilidades de DELMIA Apriso antes del 18 de noviembre de 2025, subrayando la gravedad y urgencia de esta amenaza.\n\nLa explotación continua de estas fallas críticas destaca el riesgo persistente que enfrentan las organizaciones que dependen de los productos DELMIA Apriso y XWiki. Los usuarios deben mantenerse vigilantes y priorizar la aplicación de parches para evitar compromisos adicionales, especialmente considerando la naturaleza evolutiva de las amenazas de ransomware y criptominería vinculadas a estas vulnerabilidades.