CVE-2025-6205

Суть уязвимости

Уязвимость CVE-2025-6205 в Dassault Systèmes DELMIA Apriso относится к классу "Отсутствие авторизации" (Missing Authorization, CWE-862).

Проблема заключается в том, что приложение не проверяет должным образом права доступа пользователя при обращении к определенным критичным функциям, модулям или конечным точкам API. Это означает, что злоумышленник (например, пользователь с минимальными правами в системе или, в некоторых случаях, неаутентифицированный атакующий) может отправить специально сформированный запрос и получить доступ к административному функционалу.

В результате эксплуатации уязвимости возможна вертикальная эскалация привилегий, несанкционированный доступ к конфиденциальным производственным данным, изменение конфигурации системы или полная компрометация приложения.

Как исправить

Поскольку DELMIA Apriso является проприетарным корпоративным программным обеспечением, единственным полным и надежным способом устранения уязвимости является установка официального патча от вендора.

• Авторизуйтесь на официальном портале поддержки Dassault Systèmes (3DS Support Portal).
• Ознакомьтесь с бюллетенем безопасности, выпущенным для CVE-2025-6205, чтобы определить уязвимые версии.
• Скачайте актуальный пакет обновлений (Fix Pack / Cumulative Update) для вашей версии Apriso.
• Создайте полные резервные копии серверов приложений и базы данных перед проведением работ.
• Остановите службы приложения для безопасного применения патча.
• Установите обновление, следуя официальной документации (Installation Guide).
• Перезапустите веб-сервер (часто используется IIS) и службы приложения для применения изменений.

Пример команды для перезапуска служб IIS после установки патча:

Restart-Service -Name W3SVC -Force

Временные меры

Если немедленная установка официального обновления невозможна в связи с бизнес-процессами, необходимо внедрить компенсирующие меры безопасности (Compensating Controls) для снижения риска эксплуатации:

• Сетевая изоляция и ограничение доступа: Строго ограничьте доступ к серверам DELMIA Apriso. Убедитесь, что приложение недоступно из публичной сети Интернет. Доступ должен осуществляться исключительно из доверенных сегментов корпоративной сети или через VPN с обязательной многофакторной аутентификацией (MFA).
• Блокировка на уровне WAF (Web Application Firewall): Если Dassault Systèmes предоставили информацию о конкретных уязвимых путях (URI) или параметрах, создайте пользовательские правила на WAF для блокировки несанкционированных запросов к этим конечным точкам.
• Усиленный мониторинг и аудит (SIEM): Настройте строгий мониторинг логов веб-сервера и самого приложения. Создайте правила корреляции в SIEM для выявления аномальных обращений к административным API со стороны обычных пользователей.
• Принцип наименьших привилегий: Проведите внеплановый аудит учетных записей. Отключите все неиспользуемые, тестовые и сервисные учетные записи, которые могут быть использованы злоумышленниками как точка входа для дальнейшей эскалации.

Пример команды для выгрузки и анализа последних ошибок из журналов Windows (для поиска аномалий в работе приложения):

Get-EventLog -LogName Application -Source "Apriso*" -Newest 1000 | Where-Object {$_.EntryType -match "Error|Warning"}