CVE-2025-6204

Суть уязвимости

Уязвимость CVE-2025-6204 в Dassault Systèmes DELMIA Apriso относится к критическому классу Code Injection (внедрение кода). Проблема возникает из-за некорректной или отсутствующей фильтрации пользовательских данных перед их передачей в интерпретатор или компилятор приложения. * Злоумышленник может отправить специально сформированный запрос (например, через API, веб-формы или параметры URL), содержащий вредоносный код. * Уязвимый компонент DELMIA Apriso обрабатывает эти данные не как текст, а как исполняемые инструкции. * В результате происходит удаленное выполнение кода (RCE) в контексте учетной записи, под которой работает приложение (чаще всего это рабочий процесс веб-сервера). * Успешная эксплуатация позволяет атакующему полностью скомпрометировать сервер, получить доступ к базам данных производственных процессов (MOM/MES), изменить технологические маршруты или развернуть программы-вымогатели в промышленной сети.

Как исправить

Основной и единственный гарантированный метод устранения уязвимости — применение официального патча от вендора. * Авторизуйтесь на портале поддержки Dassault Systèmes (3DS Support). * Ознакомьтесь с официальным бюллетенем безопасности, выпущенным для CVE-2025-6204. * Загрузите соответствующий Hotfix или накопительное обновление (Cumulative Update), применимое к вашей текущей версии DELMIA Apriso. * Выполните полное резервное копирование сервера приложений и базы данных перед началом работ. * Установите патч в тестовой среде (Staging), чтобы убедиться в отсутствии конфликтов с кастомными производственными процессами. * Разверните обновление на продуктивном сервере в окно технического обслуживания. * После установки патча перезапустите службы веб-сервера (обычно это IIS) для применения изменений:

iisreset /restart

Временные меры

Если немедленная установка обновления невозможна из-за непрерывности производственного цикла, необходимо срочно применить компенсирующие меры защиты: * Настройка WAF (Web Application Firewall): Активируйте строгие правила фильтрации входящего трафика. Настройте сигнатуры на блокировку типичных паттернов внедрения кода (например, попытки вызова системных оболочек, использование функций eval(), exec(), или передачу закодированных Base64/Hex скриптов в параметрах). * Сетевая сегментация: Убедитесь, что сервер DELMIA Apriso изолирован в защищенном производственном сегменте сети (OT/ICS VLAN). Полностью заблокируйте доступ к приложению из сети Интернет и ограничьте доступ из корпоративной сети (IT VLAN) только для авторизованных пользователей по принципу "нулевого доверия" (Zero Trust). * Ограничение привилегий (PoLP): Проверьте учетную запись пула приложений (AppPool Identity), под которой работает Apriso. Убедитесь, что она не имеет прав локального администратора на сервере и имеет доступ только к необходимым директориям. * Мониторинг процессов (EDR/SIEM): Настройте алерты на запуск подозрительных дочерних процессов от рабочего процесса веб-сервера (например, w3wp.exe). Любой запуск командных оболочек должен немедленно расследоваться. * Анализ логов: Регулярно проверяйте журналы веб-сервера на предмет аномальных запросов, которые могут свидетельствовать о попытках эксплуатации. Пример команды для поиска подозрительных паттернов в логах IIS:

Get-Content C:\inetpub\logs\LogFiles\W3SVC1\*.log | Select-String -Pattern "cmd\.exe|powershell|eval\(|%00"