La vulnérabilité du RCE dans la plate-forme de gestion manufacturière de Dassault Systèmes est désormais activement ciblée.
Les attaquants ont été repérés pour cibler une vulnérabilité critique d’exécution du code distant (RCE) dans une plate-forme de gestion manufacturière clé utilisée par certaines des plus grandes entreprises du monde.
Rendu public pour la première fois sur le site du fabricant en juin, la vulnérabilité est CVE-2025-5086 à Delmia Apriso, une plate-forme de gestion des opérations de fabrication (MOM) de Dassault Systèmes décrit comme un élément géant de middleware qui se situe entre et coordonne de nombreuses fonctions de fabrication à travers la production, le maintien de la middies, le contrôle de la qualité et l’inventaire. Il affecte toutes les versions de la version 2020 à la version 2025.
Malgré le risque que la vulnérabilité pose à un système de fabrication fondamental, Dassault Systèmes n’a offert que les détails les plus ratés sur la faille ou comment il pourrait être atténué, même sur son portail de support client.
Au lieu de cela, les petites informations publiques qui ont émergé proviennent de sources de tiers, surtout la semaine dernière lorsque la CISA l’a ajoutée à son catalogue connu sur les vulnérabilités exploitées (KEV). Ceci décrit le défaut simplement comme «une désérialisation de la vulnérabilité des données non confiance qui pourrait conduire à une exécution de code distante», avec un score CVSS de 9.0, ou «critique».
Quelques jours plus tôt, Johannes Ullrich du SANS Internet Storm Center (ISC) a publié une alerte distincte sur CVE-2025-5086 offrant plus de contexte. Il est possible, bien que non confirmé, que ce conseil soit la source de l’avertissement de CISA.
«Lorsque je pense à la sécurité des environnements de fabrication, je me concentre généralement sur les appareils IoT intégrés dans les lignes de production. Tous les petits capteurs et actionneurs sont souvent très difficiles à sécuriser», a écrit Ullrich. «D’un autre côté, il y a aussi des« grands logiciels »qui sont utilisés pour gérer la fabrication.» Bien que ce soit moins fréquemment un problème, a-t-il noté, «des systèmes complexes comme celui-ci ont également des bogues».
Lorsqu’il a téléchargé l’exploit sur Virustotal, l’infection a été détectée par un seul moteur anti-malware, Kaspersky, a trouvé Ullrich. Cela l’a identifié comme «MSIL.ZAPCHAST.GEN», une étiquette vague appliquée à de nombreux chevaux de Troie qui ressemblent un peu à la malware Zapchast d’origine de 2006.
Ce qu’il ne fait pas, c’est offrir des indices sur qui est derrière les attaques ciblant Delmia Apriso, bien que l’inquiétude évidente soit des exploits exercés par des acteurs ransomwares.
«Les analyses proviennent de 156.244.33.162», avec la chaîne «Project Discovery CVE-2025-5086» dans l’exécutable. Cela a suggéré que l’attaque s’était produite après la reconnaissance par un scanner de vulnérabilité, a spéculé Ullrich.
Si c’est le cas, une interprétation pessimiste de cela est que les attaquants savaient ce qu’ils recherchaient et ne pourraient donc pas être les premiers à tenter un tel scan.
Patch
Le site Web de Dassault Systèmes présente actuellement 556 entreprises utilisant la plate-forme dans leurs opérations, qui n’est probablement qu’un échantillon de la clientèle complète. La société a acquis le logiciel sous sa marque Delmia lorsqu’elle a acheté une société de logiciels américaine APRISO en 2013.
Pour tout fabricant qui l’utilise, dont beaucoup seront de grandes entreprises mondiales, ce sera une plate-forme fondamentale sans laquelle il aurait du mal à opérer. Cette dépendance explique pourquoi l’abandon des nombreux processus de fabrication gérés par Delmia APRISO dans le cadre d’un processus de correctif est peu susceptible d’être simple.
Cependant, la documentation de l’administration indique que le logiciel a suivi un calendrier de publication annuel chaque année depuis 2020, ce qui signifie que les mises à jour seront pour l’une des six versions. Les correctifs de sécurité semblent se produire dans le cadre des packs de services, pour lesquels le client doit lancer des téléchargements.
