ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna iki DELMIA Apriso güvenlik açığını ekledi.
Bugün CVE-2025-6204 ve CVE-2025-6205’in KEV kataloğuna eklenmesi, CVE-2025-5086’nın geçen ay CISA veritabanına eklenmesinin ardından geldi; bu, Aralık 2023’ten bu yana yararlanılan güvenlik açıkları kataloğuna bir endüstriyel kontrol sistemi (ICS)/operasyonel teknoloji (OT) güvenlik açığının ilk eklenmesiydi. Bununla birlikte, KEV kataloğuna eklenen BT güvenlik açıkları genellikle ICS/OT ürünleri de.
DELMIA Apriso, Dassault Systèmes’in üretim süreçlerini yönetmek ve fabrika katlarını kurumsal kaynak planlama (ERP) sistemlerine bağlamak için kullanılan üretim operasyon yönetimi (MOM) ve üretim yürütme sistemi (MES) yazılımıdır.
SANS Internet Storm Center (ISC) kurucusu ve SANS Teknoloji Enstitüsü Araştırma Dekanı Johannes Ullrich, geçen ayki bir blog yazısında, DELMIA Apriso’nun, genellikle üretim güvenliğinin odağı olan küçük IoT cihazlarından, üretimi yönetmek için kullanılan “‘büyük yazılım’ olması” açısından farklı olduğunu söyledi. Bu tür Üretim Operasyon Yönetimi (MOM) veya Üretim Yürütme Sistemi (MES), her şeyi birbirine bağlar ve fabrika katlarını ERP’ye bağlamayı vaat eder. sistemler. Ancak bunun gibi karmaşık sistemlerde de hatalar var.”
DELMIA Apriso Güvenlik Açıkları CVE-2025-6204 ve CVE-2025-6205 Saldırı Altında
CISA genellikle KEV kataloğuna eklenen güvenlik açıklarından hangi tehdit gruplarının yararlandığını veya bunların nasıl kullanıldığını söylemiyor ve CISA’nın en son DELMIA Apriso bildiriminde yalnızca “Bu tür güvenlik açıkları, kötü niyetli siber aktörler için sık sık saldırı vektörleri oluşturuyor ve federal kuruluş için önemli riskler oluşturuyor” deniyor.
CISA, federal sivil kurumlara güvenlik açıklarını gidermeleri için 18 Kasım’a kadar süre verdi.
CVE-2025-6205, DELMIA Apriso’yu Sürüm 2020’den Sürüm 2025’e kadar etkileyen ve bir saldırganın uygulamaya ayrıcalıklı erişim elde etmesine olanak tanıyan 9.1 önem dereceli bir Eksik Yetkilendirme güvenlik açığı olan iki güvenlik açığından daha yüksek puan alan güvenlik açığıdır.
CVE-2025-6204, DELMIA Apriso’yu Sürüm 2020’den Sürüm 2025’e kadar etkileyen ve bir saldırganın rastgele kod yürütmesine izin verebilecek, 8.0 dereceli Uygunsuz Kod Üretimi Kontrolü (Kod Enjeksiyonu) güvenlik açığıdır.
Her iki güvenlik açığı da ilk olarak 4 Ağustos 2025’te Ulusal Güvenlik Açığı Veritabanında (NVD) yayımlandı. CVE-2025-6204 ve CVE-2025-6205 için Dassault Systèmes tavsiyeleri, müşterilerin düzeltme bilgilerine erişmeleri için bağlantılar içerir.
Eylül ayında CISA KEV veritabanına eklenen DELMIA Apriso güvenlik açığı CVE-2025-5086, Sürüm 2020’den Sürüm 2025’e kadar aynı zamanda etkileyen ve uzaktan kod yürütülmesine yol açabilen, 9.0 dereceli Güvenilmeyen Verilerin Seri durumdan Çıkarılması güvenlik açığıdır. Bu güvenlik açığı ilk olarak 2 Haziran 2025’te yayımlandı.
CVE-2025-5086’dan önce The Cyber Express tarafından yapılan bir analiz, KEV kataloğuna eklenen en son ICS/OT güvenlik açığının, Vision ve Samba PLC’lerinde ve HMI’larda kullanılan, 9.9.00 sürümünden önce Unitronics VisiLogic’te 9.8 önem derecesine sahip bir Güvenli Olmayan Varsayılan Parola güvenlik açığı olan CVE-2023-6448 olduğunu gösteriyor.