美國網路安全和基礎設施安全局(CISA)今天警告稱，攻擊者正在積極利用達梭系統 (Dassault) DELMIA Apriso（一種製造營運管理(MOM)和執行(MES)解決方案）中的兩個漏洞。 這項警告凸顯了工業和製造業營運中潛在的嚴重資安風險。DELMIA Apriso 作為廣泛使用的企業級解決方案，其安全性漏洞可能對全球多個產業造成廣泛而深遠的影響。

全球許多企業使用 DELMIA Apriso 來管理倉庫、安排生產、分配資源、管理品質以及整合生產設備與各種業務應用程式。 這款軟體是現代製造業供應鏈的核心，負責協調從生產排程到資源分配的關鍵環節。一旦這些漏洞被成功利用，攻擊者可能取得對製造流程的控制權，導致生產中斷、數據竊取，甚至更嚴重的實體損害。

CISA 指出，目前有兩個特定的漏洞正被積極利用：
第一個漏洞（CVE-2025-6205）是一個嚴重程度為缺失授權的安全漏洞，可允許未經身份驗證的威脅行為者遠端取得未修補應用程式的特權存取權限。 這個漏洞的嚴重性極高，因為它允許攻擊者無需任何憑證即可從遠端位置入侵系統並獲得高階權限。對於 DELMIA Apriso 這種管理核心生產營運的系統而言，這意味著攻擊者可能能夠讀取、修改或刪除關鍵生產數據，甚至直接操控製造設備。

第二個漏洞（CVE-2025-6204）是一個高嚴重程度的權限注入漏洞，可允許具有高水準的攻擊者在任意攻擊者上執行程式碼的系統上執行程式碼。 儘管這個漏洞需要攻擊者已具備較高權限，但它提供了進一步提升攻擊能力的可能性。一旦攻擊者透過第一個漏洞或其他方式取得初步權限，CVE-2025-6204 就能讓他們在受影響的系統上執行任意程式碼，從而實現更全面的控制、部署惡意軟體或進行更具破壞性的操作。

CISA 將這兩個漏洞標記為已被野外利用，並將其添加到已知被利用漏洞(KEV) 目錄中。 「已知被利用漏洞」目錄是 CISA 針對已被證實在實際攻擊中使用的漏洞清單。這項分類強調了這些漏洞的即時威脅性，並要求所有相關組織立即採取行動。根據 2021年11月發布的具有約束力的行動指令 (BOD) 22-01的規定，聯邦民事行政部門機構必須在三週內（即11月18日之前）確保其網路安全。 雖然此命令僅適用於美國政府機構，但其設立的緊迫時限反映了 CISA 對這些漏洞威脅的嚴峻評估。這也為所有企業提供了一個明確的修補時間參考，即使不在強制範圍內，也應以同樣的緊迫感處理。

雖然這僅適用於美國政府機構，但 CISA 敦促所有IT管理員和網路防禦者盡快修補這些漏洞。 這項呼籲是針對全球所有使用達梭系統 DELMIA Apriso 的企業。由於其在製造業中的關鍵作用，這些漏洞一旦被廣泛利用，可能導致全球供應鏈的嚴重中斷，甚至對關鍵基礎設施造成影響。所有企業的 IT 和資安團隊都應立即採取行動，識別其環境中是否存在受影響的 DELMIA Apriso 版本，並應用達梭系統提供的任何修補程式或緩解措施。

資料來源：https://www.bleepingcomputer.com/news/security/cisa-warns-of-two-more-actively-exploited-dassault-vulnerabilities/