ダッソーとXWikiを狙うアクティブな攻撃 — CISAが重大な脆弱性の攻撃を確認

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）とVulnCheckは、ダッソー・システムズのDELMIA AprisoおよびXWikiプラットフォームに影響を与える重大なセキュリティ脆弱性のアクティブな悪用を確認しました。これらの脆弱性は深刻なリスクをもたらし、攻撃者が任意のコードを実行したり、不正に特権アクセスを取得したりすることを可能にします。具体的には、CVE-2025-6204はDELMIA Aprisoのコードインジェクションの脆弱性で、CVSSスコア8.0で任意コード実行を可能にします。これに加え、CVE-2025-6205はスコア9.1で、認可チェックの欠如により攻撃者が適切な権限なしに特権アプリケーション機能にアクセスできる可能性があります。\n\nこれらの問題はDELMIA Aprisoの2020年リリースから2025年リリースまでのバージョンに影響し、ダッソー・システムズは2025年8月初旬に修正パッチを提供しました。注目すべきは、これらの脆弱性がCISAが既に同製品の別の重大な脆弱性（CVE-2025-5086）を警告した直後に既知の悪用脆弱性（KEV）カタログに追加されたことです。この別の脆弱性もSANSインターネットストームセンターによって悪用試行が検出されています。これらの攻撃が関連しているかは現時点で不明です。\n\n同時に、XWikiの脆弱性CVE-2025-24893はCVSSスコア9.8で、動的評価呼び出しにおける入力の不適切な無害化（いわゆるevalインジェクション）を含みます。この脆弱性により、任意のゲストユーザーが"/bin/get/Main/SolrSearch"エンドポイントへのリクエストを通じてリモートでコードを実行できます。VulnCheckはこの脆弱性が2025年3月から武器化されていると報告しています。悪用は被害者のシステムに暗号通貨マイナーをインストールするための2段階攻撃チェーンに従います。\n\nVulnCheckの詳細によると、攻撃者はベトナムに地理的に特定されたIPから追跡され、約20分間隔の2回のプロセスを実行します。最初のパスでダウンローダーファイルをディスクに配置し、2回目のパスでそれを実行します。ダウンローダーはwgetを使い、疑わしいサーバーから"x640"という別のダウンローダーを取得し、さらに2つのペイロードを引き込みます：x521は実際の暗号通貨マイナーを取得し、x522はXMRigやKinsingのような競合マイナーを終了させた後、c3pool.orgマイニングプール用に設定されたマイナーを起動します。\n\n悪意のあるIPアドレスはブルートフォース攻撃の履歴があり、最近では2025年10月26日にフラグが立てられています。アクティブな悪用が続いているため、影響を受けるバージョンを使用している機関やユーザーは直ちに提供されたパッチを適用することが強く推奨されます。例えば、複数の連邦文民行政機関（FCEB）は2025年11月18日までにDELMIA Aprisoの脆弱性を修正することが義務付けられており、この脅威の深刻さと緊急性を強調しています。\n\nこれらの重大な脆弱性の継続的な悪用は、DELMIA AprisoおよびXWiki製品に依存する組織が直面する持続的なリスクを浮き彫りにしています。ユーザーは警戒を怠らず、特にこれらの脆弱性に関連するランサムウェアや暗号通貨マイニングの脅威の進化を考慮し、さらなる侵害を防ぐためにパッチ適用を優先すべきです。