CISA cảnh báo lỗ hổng RCE Dassault đang bị tin tặc lợi dụng

DELMIA Apriso là giải pháp quản lý hoạt động sản xuất (MOM/MES) giúp số hóa và giám sát quy trình, được nhiều doanh nghiệp toàn cầu tin dùng trong các khâu lập lịch sản xuất, quản lý chất lượng, phân bổ nguồn lực, kho bãi và kết nối giữa thiết bị sản xuất với hệ thống kinh doanh. Công nghệ này phổ biến trong các ngành ô tô, hàng không vũ trụ, điện tử, công nghệ cao và chế tạo máy.

Ảnh minh họa

Tuy nhiên, lỗ hổng CVE-2025-5086 - một lỗi hủy tuần tự hóa dữ liệu không đáng tin cậy dẫn đến thực thi mã từ xa (RCE) đang bị tin tặc khai thác. CISA đã đưa lỗ hổng này vào danh sách KEV (Known Exploited Vulnerabilities).

Dassault công bố sự cố vào ngày 2/6, cho biết tất cả phiên bản DELMIA Apriso 2020-2025 đều bị ảnh hưởng, song không tiết lộ chi tiết kỹ thuật. Đến ngày 3/9, nhà nghiên cứu Johannes Ullrich (SANS ISC) ghi nhận các nỗ lực tấn công đang diễn ra nhằm khai thác CVE-2025-5086.

Phương thức khai thác được mô tả là gửi yêu cầu SOAP độc hại tới điểm cuối dễ bị tổn thương, từ đó tải và chạy tệp thực thi .NET được mã hóa Base64, nén GZIP và nhúng trong XML. Payload này là một tệp thực thi Windows, bị Hybrid Analysis gắn nhãn độc hại nhưng chỉ có một công cụ trên VirusTotal phát hiện. Nguồn gốc các yêu cầu độc hại được truy vết đến địa chỉ IP 156[.]244[.]33[.]162, nhiều khả năng liên quan đến hoạt động quét tự động.

Hà An (tổng hợp)