Güvenlik Açıkları, Siber Güvenlik Haberleri, Tehdit Analizi

Dassault ve XWiki Kritik Güvenlik Açıkları Aktif Sömürülüyor: CISA Uyarısı ve Saldırı Detayları

Ekim 29, 2025Ekim 29, 2025Tarafından Cybernews.TR
33
Dassault ve XWiki Kritik Güvenlik Açıkları Aktif Sömürülüyor: CISA Uyarısı ve Saldırı Detayları

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Dassault Systèmes DELMIA Apriso ve XWiki platformlarında bulunan kritik güvenlik açıklarının aktif olarak sömürüldüğünü doğruladı. Bu zafiyetler, özellikle CVE-2025-6204 ve CVE-2025-6205 kodlu açıklar, kod enjeksiyonu ve yetkilendirme eksikliği sorunları içeriyor. Ayrıca, XWiki’deki CVE-2025-24893 açığı, dinamik değerlendirme (eval) enjeksiyonu yoluyla rastgele uzak kod çalıştırılmasına olanak tanıyor.

Dassault DELMIA Apriso’daki Kritik Açıklar

CVE-2025-6204 (CVSS 8.0) kod enjeksiyonu açığı, saldırganların rastgele kod çalıştırmasına izin verirken; CVE-2025-6205 (CVSS 9.1) ise yetkilendirme eksikliği nedeniyle ayrıcalıklı erişim sağlanmasına olanak tanıyor. Bu açıklar, 2020 ile 2025 sürümleri arasındaki DELMIA Apriso versiyonlarını etkiliyor ve Ağustos 2025 başında Dassault tarafından yamalandı. İlginç şekilde, bu zafiyetlerin KEV kataloğuna eklenmesi, SANS Internet Storm Center’ın gerçek dünya saldırılarını raporlamasından ve CISA’nın başka kritik bir açığın sömürülmesini işaret etmesinden kısa süre sonra gerçekleşti.

XWiki’deki Eval Enjeksiyonu ve Kripto Madencisi Saldırısı

CVE-2025-24893 (CVSS 9.8) açığı, XWiki’nin dinamik değerlendirme fonksiyonunda girişlerin uygun şekilde nötralize edilmemesi nedeniyle ortaya çıkıyor. VulnCheck tarafından tespit edilen saldırılar, iki aşamalı bir zincirle kripto para madencisi dağıtımı gerçekleştiriyor. İlk aşamada wget aracıyla “193.32.208[.]24:8080” adresinden “x640” adlı indirici dosya /tmp/11909 konumuna yazılıyor. İndirici, aynı sunucudan “x521” (kripto madencisi) ve “x522” (rakip madencileri öldürüp c3pool.org yapılandırmasıyla XMRig başlatan araç) adlı payloadları indiriyor. Bu saldırı trafiği, Vietnam merkezli “123.25.249[.]88” IP adresinden geliyor ve AbuseIPDB tarafından kaba kuvvet saldırıları nedeniyle zararlı olarak işaretlenmiş durumda.

Teknik Derinlik ve Korunma Önerileri

Bu saldırı zincirinde, MCP istemcisi benzeri modüler yapılar ve Pydantic AI ile doğrulama eksiklikleri gibi yazılım mimarisi zafiyetlerinin kullanıldığı değerlendirilebilir. Ayrıca, konteyner ortamlarında rastgele atanmış SSH portları üzerinden lateral hareket teknikleri uygulanmış olabilir. AsyncRAT gibi gelişmiş uzaktan erişim araçlarına benzer yöntemlerle kalıcılık sağlanması muhtemeldir. CISA ve diğer siber güvenlik kurumları, DELMIA Apriso açıklarının 18 Kasım 2025 tarihine kadar kapatılmasını zorunlu kılmıştır. Kullanıcıların ve kurumların, ilgili yamaları derhal uygulaması ve ağ trafiğini anomali tespiti için izlemeye alması kritik önem taşımaktadır.

, , , , , , ,