Агентство по кибербезопасности и защите инфраструктуры США (CISA) зафиксировало активную эксплуатацию критических уязвимостей в двух программных продуктах: DELMIA Apriso от Dassault Systèmes и платформе XWiki. Обе проблемы были немедленно добавлены в каталог известных эксплуатируемых уязвимостей (KEV), что обязывает федеральные ведомства США принять срочные меры по их устранению.
Программный комплекс DELMIA Apriso, используемый в промышленности, содержит две серьезные бреши. Уязвимость CVE-2025-6204 с рейтингом опасности 8.0 позволяет злоумышленникам внедрять и выполнять произвольный код. Вторая, CVE-2025-6205, получившая критический рейтинг 9.1, связана с отсутствием надлежащей авторизации и открывает атакующим путь к получению привилегированного доступа к приложению.
Уязвимости затрагивают версии DELMIA Apriso с релиза 2020 по 2025 год. Компания Dassault Systèmes выпустила исправления для этих проблем еще в начале августа. Это уже не первая тревога, связанная с продуктом: месяцем ранее CISA добавила в каталог уязвимость CVE-2025-5086 (рейтинг 9.0) всего через неделю после того, как центр SANS Internet Storm Center обнаружил попытки ее эксплуатации. Связь между этими кампаниями атак пока не установлена.
Одновременно была выявлена эксплуатация критической уязвимости в платформе XWiki, отслеживаемой как CVE-2025-24893. С рейтингом опасности 9.8, она позволяет любому гостевому пользователю удаленно выполнять код на сервере. Согласно отчетам фирм CrowdSec и Cyble, эта уязвимость используется в реальных атаках как минимум с марта 2025 года. Целью злоумышленников является развертывание скрытых майнеров криптовалют.
Специалисты из компании VulnCheck, включая исследователя Джейкоба Бэйнса, детально проанализировали механизм атаки на XWiki. Атака осуществляется через отправку запроса на конечную точку
Сам процесс атаки разделен на два этапа с интервалом не менее 20 минут. На первом этапе злоумышленник размещает на диске жертвы файл-загрузчик. На втором этапе происходит его выполнение. Установлено, что для загрузки начального файла
После активации загрузчик
В связи с подтвержденной эксплуатацией уязвимостей в DELMIA Apriso, CISA выпустила директиву для федеральных гражданских ведомств исполнительной власти (FCEB). Агентства обязаны устранить уязвимости CVE-2025-6204 и CVE-2025-6205 в установленный срок — до 18 ноября 2025 года. Всем остальным организациям, использующим затронутое программное обеспечение, настоятельно рекомендуется применить обновления безопасности без промедления.
Изображение носит иллюстративный характер
Программный комплекс DELMIA Apriso, используемый в промышленности, содержит две серьезные бреши. Уязвимость CVE-2025-6204 с рейтингом опасности 8.0 позволяет злоумышленникам внедрять и выполнять произвольный код. Вторая, CVE-2025-6205, получившая критический рейтинг 9.1, связана с отсутствием надлежащей авторизации и открывает атакующим путь к получению привилегированного доступа к приложению.
Уязвимости затрагивают версии DELMIA Apriso с релиза 2020 по 2025 год. Компания Dassault Systèmes выпустила исправления для этих проблем еще в начале августа. Это уже не первая тревога, связанная с продуктом: месяцем ранее CISA добавила в каталог уязвимость CVE-2025-5086 (рейтинг 9.0) всего через неделю после того, как центр SANS Internet Storm Center обнаружил попытки ее эксплуатации. Связь между этими кампаниями атак пока не установлена.
Одновременно была выявлена эксплуатация критической уязвимости в платформе XWiki, отслеживаемой как CVE-2025-24893. С рейтингом опасности 9.8, она позволяет любому гостевому пользователю удаленно выполнять код на сервере. Согласно отчетам фирм CrowdSec и Cyble, эта уязвимость используется в реальных атаках как минимум с марта 2025 года. Целью злоумышленников является развертывание скрытых майнеров криптовалют.
Специалисты из компании VulnCheck, включая исследователя Джейкоба Бэйнса, детально проанализировали механизм атаки на XWiki. Атака осуществляется через отправку запроса на конечную точку
/bin/get/Main/SolrSearch. Анализ показал, что кампания исходит из Вьетнама с IP-адреса 123.25.249[.]88, который был отмечен в базе AbuseIPDB за брутфорс-атаки еще 26 октября 2025 года. Сам процесс атаки разделен на два этапа с интервалом не менее 20 минут. На первом этапе злоумышленник размещает на диске жертвы файл-загрузчик. На втором этапе происходит его выполнение. Установлено, что для загрузки начального файла
x640 в директорию /tmp/11909 используется команда wget, обращающаяся к командному центру (C2) на 193.32.208[.]24:8080. После активации загрузчик
x640 скачивает два дополнительных компонента. Файл x521 получает с C2-сервера основной полезный груз — сам криптомайнер под именем tcrond. Второй файл, x522, является служебным скриптом, который выполняет две функции: принудительно завершает процессы конкурирующих майнеров, таких как XMRig и Kinsing, и запускает собственный майнер с конфигурацией для работы с пулом c3pool.org. В связи с подтвержденной эксплуатацией уязвимостей в DELMIA Apriso, CISA выпустила директиву для федеральных гражданских ведомств исполнительной власти (FCEB). Агентства обязаны устранить уязвимости CVE-2025-6204 и CVE-2025-6205 в установленный срок — до 18 ноября 2025 года. Всем остальным организациям, использующим затронутое программное обеспечение, настоятельно рекомендуется применить обновления безопасности без промедления.
