A agência norte-americana Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração de uma vulnerabilidade crítica de execução remota de código (remote code execution - RCE) no DELMIA Apriso, uma solução de manufacturing operations management (MOM) e manufacturing execution system (MES) desenvolvida pela francesa Dassault Systèmes.
A falha, identificada como
CVE-2025-5086
e com severity crítica (pontuação 9.0 na escala CVSS v3), foi adicionada à lista Known Exploited Vulnerabilities (KEV) da CISA, indicando que já está sendo explorada ativamente por hackers.
O DELMIA Apriso é amplamente utilizado na indústria para digitalizar e monitorar processos produtivos.
Empresas ao redor do mundo dependem dessa plataforma para agendamento de produções, controle de qualidade, alocação de recursos, gestão de estoque e integração entre máquinas e sistemas empresariais.
Seu uso é especialmente comum em setores como automotivo, aeroespacial, eletrônicos, alta tecnologia e máquinas industriais, áreas onde controle rigoroso de qualidade, rastreabilidade, conformidade e padronização de processos são essenciais.
A vulnerabilidade identificada está relacionada à desserialização de dados não confiáveis, o que pode permitir que invasores executem código remotamente no sistema afetado.
A Dassault Systèmes confirmou o problema em 2 de junho, informando que todas as versões do DELMIA Apriso, desde a Release 2020 até a Release 2025, estão vulneráveis, mas divulgou poucos detalhes técnicos até o momento.
Em 3 de setembro, o pesquisador de segurança Johannes Ullrich publicou uma análise no SANS ISC, relatando tentativas ativas de exploração dessa falha.
Segundo ele, o ataque é realizado por meio do envio de requisições SOAP maliciosas para endpoints vulneráveis, que carregam e executam um arquivo .NET compactado em GZIP e codificado em Base64 dentro do XML.
O payload entregue é um executável para Windows, identificado como malicioso por ferramentas como Hybrid Analysis e detectado por apenas um motor no VirusTotal.
As requisições suspeitas foram originadas do endereço IP 156.244.33[.]162, que provavelmente está envolvido em scans automatizados.
A CISA não fez referência direta ao relatório de Ullrich, portanto não está claro se essa publicação motivou a inclusão da
CVE-2025-5086
na lista KEV ou se houve outra fonte confirmando a exploração ativa.
Por enquanto, o órgão governamental dos EUA estipulou o prazo até 2 de outubro para que órgãos federais apliquem os patches disponíveis, adotem mitigações recomendadas ou interrompam o uso do DELMIA Apriso.
Embora a diretriz BOD 22-01 seja obrigatória somente para órgãos federais nos Estados Unidos, empresas do setor privado globalmente devem levar o alerta da CISA a sério e agir rapidamente para proteger seus ambientes contra essa ameaça.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...