ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), KEV kataloğuna karşı endüstriyel kontrol sistemi (ICS)/operasyonel teknoloji (OT) kırılganlığının nadir bir eklenmesi olan bilinen sömürülen güvenlik açıkları (KEV) kataloğuna bir üretim operasyonları yönetimi yazılımı güvenlik açığı ekledi.
CVE-2025-5086, üretim operasyonları yönetimi (MOM) ve üretim yürütme sistemi (MES) yazılımı, üretim süreçlerini yönetmek ve fabrika zeminlerini işprilik kaynak planlaması (ERP) sistemlerine bağlamak için kullanılan Delmia Apriso’da güvenilmeyen veri kırılganlığının 9.0 dereceli bir şekilde düzenlenmesidir.
Güvenlik açığı, Delmia Apriso’yu sürümden 2020’den 2025’e kadar etkiler ve uzaktan kod yürütülmesine (RCE) yol açabilir.
Delmia Apriso CVE-2025-5086 Tespit edilen istismarlar
SANS Internet Storm Center (ISC), SANS Teknoloji Enstitüsü’nün ISC kurucusu ve Dekanı Johannes Ullrich tarafından 3 Eylül blog yazısında Delmia Apriso CVE-2025-5086 güvenlik açığını hedefleyen saldırı girişimlerini bildirdi.
SANS tarafından tespit edilen taramaların IP’den 156.244.33’ten kaynaklandığı görülüyor[.]162. Sustam, WebServices/FlexNetOperationsService hizmetine SOAP isteklerini kullanır ve XML’de kodlanmış bir yükü GZIP ile sıkıştırılmış bir Windows yürütülebilir dosyasına dönüştüren bir yükü yerleştirir. Yayın zamanı itibariyle, yük, Virustotal’daki bir güvenlik aracı hariç herkes tarafından tespit edilmez.
“Project Discovery CVE-2025-5086” dizesi, taramanın bir güvenlik açığı tarayıcısından kaynaklanabileceğini gösteriyor. Müşterilere bir not olarak Cyble, güvenlik açığı için çekirdek tarama komut dosyasının kamuya açık alanda mevcut olduğunu bildirdi.
Delmia Apriso platformu, havacılık, otomotiv ve tüketici malları gibi sektörlerde büyük şirketler tarafından kullanılmaktadır. Apriso üretim iş akışlarını ve tedarik zinciri görünürlüğünü destekledikçe, başarılı bir uzlaşma üretim süreçlerini bozabilir, bu da zamanında yama ve hafifletmeyi zorunlu kılabilir.
Ullrich, “Üretim ortamlarının güvenliğini düşündüğümde, genellikle üretim hatlarına entegre IoT cihazlarına odaklanıyorum. Tüm küçük sensörlerin ve aktüatörlerin güvence altına alınması genellikle çok zor” dedi. “Öte yandan, üretimi yönetmek için kullanılan ‘büyük yazılım’ da vardır. Bir örnek Dassault Systèmes tarafından Delmia Apriso’dur. Bu tür üretim operasyon yönetimi (MOM) veya imalat yürütme sistemi (MES) her şeyi birbirine bağlar ve fabrika zeminlerini ERP sistemlerine bağlamayı vaat eder. Ancak bunun gibi karmaşık sistemler de böceklere sahiptir.”
CVE-2025-5086’daki Dassault Güvenlik Danışmanlığı, iyileştirme bilgilerine bir bağlantı içerir.
Kev kataloğunda ICS/OT güvenlik açıkları
CISA, KEV kataloğuna nadiren ICS/OT güvenlik açıkları ekler, ancak KEV kataloğundaki güvenlik açıkları genellikle ICS/OT ürünlerinde de görünür.
Belki de CVE-2025-5086’dan önce KEV kataloğuna eklenen en son ICS/OT güvenlik açığı, Vizyon ve SAMBA PLC’lerinde ve HMI’lerde kullanılan 9.9.00 versiyonundan önce bir Unitronics Visilogic’de 9.8-Severity güvensiz varsayılan şifre güvenlik açığı idi. CISA, Aralık 2023’te KEV kataloğuna güvenlik açığını ekledi.
CISA, Federal Sivil İcra Şubesi (FCEB) ajanslarına CVE-2025-5086’ya karşı korunmak için güncellemeler uygulamak için 2 Ekim tarihli bir son tarih verdi ve güvenlik açığından etkilenen diğerlerinin de düzeltmeler yapması isteniyor.