Exploits Actifs Touchent Dassault et XWiki — CISA Confirme des Failles Critiques en Cours d'Attaque

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), en collaboration avec VulnCheck, a confirmé l'exploitation active de failles de sécurité critiques affectant les plateformes Dassault Systèmes DELMIA Apriso et XWiki. Ces vulnérabilités présentent des risques sérieux, permettant aux attaquants d'exécuter du code arbitraire ou d'obtenir un accès privilégié non autorisé. Plus précisément, CVE-2025-6204 est une faille d'injection de code dans DELMIA Apriso, notée avec un score CVSS de 8.0, qui permet l'exécution de code arbitraire. Parallèlement, CVE-2025-6205, avec un score de 9.1, concerne l'absence de contrôles d'autorisation qui pourrait permettre à un attaquant d'accéder à des fonctions applicatives privilégiées sans permission appropriée. \n\nCes deux problèmes affectent les versions de DELMIA Apriso de la Release 2020 à la Release 2025 et ont été corrigés par Dassault Systèmes début août 2025. Notamment, ces vulnérabilités ont été ajoutées au catalogue des Vulnérabilités Exploitées Connues (KEV) peu après que la CISA ait déjà signalé une autre faille critique (CVE-2025-5086) dans le même produit, qui a également fait l'objet de tentatives d'exploitation détectées par le SANS Internet Storm Center. Il n'est pas encore clair si ces attaques sont liées.\n\nParallèlement, la vulnérabilité XWiki CVE-2025-24893, avec un score CVSS de 9.8, concerne une neutralisation incorrecte des entrées dans les appels d'évaluation dynamique, communément appelée injection eval. Cette faille permet à tout utilisateur invité d'exécuter du code à distance via des requêtes vers le point d'accès "/bin/get/Main/SolrSearch". VulnCheck rapporte que cette vulnérabilité particulière a été exploitée depuis au moins mars 2025. L'exploitation suit une chaîne d'attaque en deux étapes conçue pour installer un mineur de cryptomonnaie sur le système de la victime.\n\nLes détails de VulnCheck révèlent que les attaquants, retracés à une IP géolocalisée au Vietnam, effectuent un processus en deux passes séparées d'environ 20 minutes. La première passe place un fichier téléchargeur sur le disque, tandis que la seconde l'exécute. Le téléchargeur utilise wget pour récupérer un autre téléchargeur nommé "x640" depuis un serveur suspect, qui télécharge ensuite deux charges utiles supplémentaires : x521, qui récupère le mineur de cryptomonnaie réel, et x522, qui termine les mineurs concurrents comme XMRig et Kinsing avant de lancer le mineur configuré pour le pool de minage c3pool.org.\n\nL'adresse IP malveillante a un historique de tentatives d'attaques par force brute, signalées récemment aussi tard que le 26 octobre 2025. Étant donné l'exploitation active, les agences et utilisateurs exécutant les versions affectées sont fortement encouragés à appliquer immédiatement les correctifs fournis. Par exemple, plusieurs agences fédérales civiles exécutives (FCEB) ont été mandatées pour remédier aux vulnérabilités DELMIA Apriso d'ici le 18 novembre 2025, soulignant la gravité et l'urgence de cette menace.\n\nL'exploitation continue de ces failles critiques met en lumière le risque persistant auquel sont confrontées les organisations utilisant les produits DELMIA Apriso et XWiki. Les utilisateurs doivent rester vigilants et prioriser l'application des correctifs pour limiter toute compromission supplémentaire, surtout compte tenu de la nature évolutive des menaces de ransomware et de cryptominage liées à ces vulnérabilités.