สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกคำเตือนเกี่ยวกับแฮ็กเกอร์ที่กำลังใช้ประโยชน์จากช่องโหว่ Remote Code Execution ระดับ Critical ใน DELMIA Apriso ซึ่งเป็นโซลูชันการจัดการ และดำเนินการด้านการผลิต (MOM) และ MES จาก Dassault Systèmes ของฝรั่งเศส
โดย CISA ได้เพิ่มช่องโหว่นี้ ซึ่งมีหมายเลข CVE-2025-5086 และถูกจัดระดับความรุนแรงเป็นระดับ Critical (CVSS v3: 9.0) เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) แล้ว
DELMIA Apriso ถูกใช้งานในกระบวนการผลิตเพื่อการดิจิทัล และการตรวจสอบ โดยองค์กรทั่วโลกพึ่งพาโซลูชันนี้สำหรับการวางแผนการผลิต, การจัดการคุณภาพ, การจัดสรรทรัพยากร, การบริหารคลังสินค้า, รวมถึงการเชื่อมต่อระหว่างอุปกรณ์การผลิต และแอปพลิเคชันทางธุรกิจ
โดยทั่วไป DELMIA Apriso ถูกใช้งานในอุตสาหกรรมยานยนต์, อวกาศ, อิเล็กทรอนิกส์, เทคโนโลยีขั้นสูง และเครื่องจักรอุตสาหกรรม ซึ่งต้องการการควบคุมคุณภาพที่เข้มงวด, ความสามารถในการตรวจสอบย้อนหลัง, การปฏิบัติตามมาตรฐาน และการกำหนดมาตรฐานกระบวนการในระดับสูงเป็นสิ่งสำคัญอย่างยิ่ง
ช่องโหว่นี้เป็นกระบวนการ deserialization ของช่องโหว่ข้อมูลที่ไม่น่าเชื่อถือ ที่อาจนำไปสู่การโจมตีแบบ Remote Code Execution (RCE)
ผู้ผลิตได้เปิดเผยช่องโหว่นี้เมื่อวันที่ 2 มิถุนายน โดยระบุว่า มีผลกระทบกับทุกเวอร์ชันของ DELMIA Apriso ตั้งแต่ เวอร์ชัน 2020 ถึง เวอร์ชัน 2025 แต่ไม่ได้ให้รายละเอียดเชิงลึกมากนัก
เมื่อวันที่ 3 กันยายน นักวิจัยด้านความมั่นคงปลอดภัย Johannes Ullrich ได้เผยแพร่รายงานบน SANS ISC โดยเปิดเผยการพบความพยายามโจมตีจริงโดยใช้ช่องโหว่ CVE-2025-5086
วิธีการโจมตีที่พบคือการส่ง SOAP request ที่เป็นอันตราย ไปยัง endpoint ที่มีช่องโหว่ โดย payload จะโหลด และรันไฟล์ .NET executable ที่ถูกเข้ารหัสแบบ Base64 และบีบอัดด้วย GZIP ซึ่งฝังอยู่ใน XML
payload ที่ถูกส่งมาเป็น Windows executable ถูกจัดประเภทว่าเป็นไฟล์อันตรายโดย Hybrid Analysis และถูกตรวจจับโดย Engine เพียงตัวเดียวใน VirusTotal
Request ที่เป็นอันตรายดังกล่าวถูกพบว่ามีต้นทางจาก IP 156.244.33[.]162 ซึ่งน่าจะเชื่อมโยงกับการสแกนแบบอัตโนมัติ
CISA ไม่ได้อ้างอิงรายงานของ Ullrich โดยตรง จึงยังไม่แน่ชัดว่ารายงานนี้หรือไม่ที่ทำให้ CISA เพิ่ม CVE-2025-5086 เข้าสู่รายการ Known Exploited Vulnerabilities (KEV) หรือว่า CISA มีข้อมูลจากแหล่งอื่นที่ยืนยันการโจมตีดังกล่าวแล้ว
รัฐบาลสหรัฐฯ กำหนดให้องค์กรภาครัฐมีเวลาจนถึงวันที่ 2 ตุลาคม เพื่อดำเนินการติดตั้งแพตช์อัปเดตด้านความปลอดภัย, ใช้มาตรการลดความเสี่ยงที่ หรือหยุดใช้งาน DELMIA Apriso เพื่อป้องกันการโจมตี
แม้ว่าแนวทางตาม BOD 22-01 จะมีผลบังคับใช้เฉพาะกับหน่วยงานรัฐบาลกลางของสหรัฐฯ เท่านั้น แต่ก็แนะนำให้องค์กรเอกชนทั่วโลกพิจารณาคำเตือนของ CISA และดำเนินการที่เหมาะสมเช่นกัน
ที่มา : bleepingcomputer
You must be logged in to post a comment.