Explorações Ativas Afetam Dassault e XWiki — CISA Confirma Falhas Críticas Sob Ataque

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), juntamente com a VulnCheck, confirmou a exploração ativa de falhas críticas de segurança que afetam as plataformas Dassault Systèmes DELMIA Apriso e XWiki. Estas vulnerabilidades representam riscos sérios, permitindo que atacantes executem código arbitrário ou obtenham acesso privilegiado não autorizado. Especificamente, o CVE-2025-6204 é uma falha de injeção de código no DELMIA Apriso, avaliada com uma pontuação CVSS de 8.0, que permite a execução arbitrária de código. Juntamente com esta, o CVE-2025-6205, com pontuação 9.1, envolve a ausência de verificações de autorização que poderiam permitir a um atacante aceder a funções privilegiadas da aplicação sem permissão adequada. \n\nAmbas as questões afetam as versões do DELMIA Apriso desde a Release 2020 até à Release 2025 e foram corrigidas pela Dassault Systèmes no início de agosto de 2025. Notavelmente, estas vulnerabilidades foram adicionadas ao catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) pouco depois da CISA ter já sinalizado outra falha crítica (CVE-2025-5086) no mesmo produto, que também teve tentativas de exploração detetadas pelo SANS Internet Storm Center. Se estes ataques estão ligados permanece incerto nesta fase.\n\nEm paralelo, a vulnerabilidade do XWiki CVE-2025-24893, com uma pontuação CVSS de 9.8, envolve a neutralização inadequada de entrada em chamadas de avaliação dinâmica, comumente referida como injeção eval. Esta falha permite que qualquer utilizador convidado execute código remotamente através de pedidos ao endpoint "/bin/get/Main/SolrSearch". A VulnCheck reporta que esta vulnerabilidade em particular tem sido utilizada desde março de 2025. A exploração segue uma cadeia de ataque em duas fases projetada para instalar um minerador de criptomoedas no sistema da vítima.\n\nDetalhes da VulnCheck revelam que os atacantes, rastreados até a um IP geolocalizado no Vietname, realizam um processo em duas passagens separadas por cerca de 20 minutos. A primeira passagem prepara um ficheiro downloader no disco, enquanto a segunda passagem executa-o. O downloader usa wget para buscar outro downloader chamado "x640" de um servidor suspeito, que depois puxa dois payloads adicionais: x521, que obtém o minerador de criptomoedas real, e x522, que termina mineradores concorrentes como XMRig e Kinsing antes de lançar o minerador configurado para o pool de mineração c3pool.org.\n\nO endereço IP malicioso tem um histórico de tentativas de ataques de força bruta, sinalizado recentemente até 26 de outubro de 2025. Dada a exploração ativa, agências e utilizadores que executam versões afetadas são fortemente aconselhados a aplicar os patches fornecidos imediatamente. Por exemplo, várias agências do Ramo Executivo Civil Federal (FCEB) foram obrigadas a remediar as vulnerabilidades do DELMIA Apriso até 18 de novembro de 2025, sublinhando a gravidade e urgência desta ameaça.\n\nA exploração contínua destas falhas críticas destaca o risco persistente enfrentado por organizações que dependem dos produtos DELMIA Apriso e XWiki. Os utilizadores devem manter-se vigilantes e priorizar a aplicação de patches para evitar compromissos adicionais, especialmente considerando a natureza evolutiva das ameaças de ransomware e mineração de criptomoedas associadas a estas vulnerabilidades.