达索系统和XWiki遭遇主动利用——CISA确认关键漏洞正被攻击

美国网络安全和基础设施安全局（CISA）与VulnCheck共同确认，达索系统DELMIA Apriso和XWiki平台存在的关键安全漏洞正被主动利用。这些漏洞带来严重风险，允许攻击者执行任意代码或获得未经授权的特权访问。具体而言，CVE-2025-6204是DELMIA Apriso中的代码注入漏洞，CVSS评分为8.0，允许执行任意代码。与此同时，CVE-2025-6205评分为9.1，涉及缺失授权检查，可能使攻击者在无适当权限的情况下访问特权应用功能。\n\n这两个问题影响DELMIA Apriso从2020版本到2025版本，达索系统已于2025年8月初发布补丁修复。值得注意的是，这些漏洞在CISA标记同一产品的另一个关键漏洞（CVE-2025-5086）后不久被加入已知被利用漏洞（KEV）目录，SANS互联网风暴中心也检测到该漏洞的利用尝试。目前尚不清楚这些攻击是否有关联。\n\n同时，XWiki漏洞CVE-2025-24893，CVSS评分为9.8，涉及动态评估调用中的输入未正确中和，通常称为eval注入。该漏洞允许任何访客用户通过请求"/bin/get/Main/SolrSearch"端点远程执行代码。VulnCheck报告称该漏洞自2025年3月起已被武器化。利用过程为两阶段攻击链，旨在在受害者系统上安装加密货币挖矿程序。\n\nVulnCheck的细节显示，攻击者追踪到一个位于越南的IP，执行两次操作，间隔约20分钟。第一次操作在磁盘上放置下载器文件，第二次执行该文件。下载器使用wget从可疑服务器获取名为"x640"的另一个下载器，后者再拉取两个额外负载：x521，负责获取实际的加密货币挖矿程序；x522，终止竞争挖矿程序如XMRig和Kinsing，然后启动配置为c3pool.org矿池的挖矿程序。\n\n该恶意IP地址有暴力破解攻击历史，最近一次标记为2025年10月26日。鉴于漏洞被积极利用，相关机构和用户强烈建议立即应用补丁。例如，多个联邦文职执行部门（FCEB）被要求在2025年11月18日前修复DELMIA Apriso漏洞，凸显该威胁的严重性和紧迫性。\n\n这些关键漏洞的持续利用凸显依赖DELMIA Apriso和XWiki产品的组织面临的持续风险。用户应保持警惕，优先打补丁以防止进一步损害，尤其考虑到与这些漏洞相关的勒索软件和加密挖矿威胁的不断演变。