أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) ثغرة أمنية حرجة في برنامج DELMIA Apriso لإدارة عمليات التصنيع (MOM) من شركة Dassault Systèmes إلى كتالوج الثغرات المعروفة المستغلة (KEV)، بعد رصد أدلة مؤكدة على استغلالها في هجمات نشطة.
الثغرة، المُسجّلة تحت الرمز CVE-2025-5086، تحمل درجة خطورة 9.0 من 10 وفقًا لمقياس CVSS، وتؤثر على الإصدارات من 2020 حتى 2025. وبحسب الشركة، فإن الخلل يتمثل في إلغاء تسلسل بيانات غير موثوقة (Deserialization)، ما يتيح تنفيذ أوامر عن بُعد (RCE).
تفاصيل الهجمات وأصل الاستغلال
أشارت تقارير SANS Internet Storm Center إلى أن محاولات استغلال الثغرة مصدرها عنوان IP في المكسيك (156.244.33[.]162).
وتعتمد الهجمات على إرسال طلب HTTP إلى المسار **/apriso/WebServices/FlexNetOperationsService.svc/Invoke** متضمّنًا حمولة مشفرة بـBase64 تفكك إلى ملف تنفيذي مضغوط بصيغة GZIP يُعرف باسم fwitxz01.dll.
برمجية تجسسية قديمة بوجه جديد
كشفت Kaspersky أن الملف المكتشف مصنّف كبرمجية خبيثة تحت اسم Trojan.MSIL.Zapchast.gen، وهي أداة تجسس إلكتروني قادرة على تسجيل ضغطات لوحة المفاتيح، التقاط لقطات شاشة، ورصد التطبيقات النشطة، مع إرسال البيانات عبر قنوات متعددة مثل البريد الإلكتروني وFTP وHTTP.
وبحسب تقارير Bitdefender وTrend Micro، فإن عائلات Zapchast معروفة منذ أكثر من عقد، غالبًا عبر رسائل تصيدية تحوي مرفقات ضارة. ولا يزال غير مؤكد إن كانت النسخة الحالية تطويرًا أكثر تطورًا من الإصدارات السابقة.
إلزام الوكالات الحكومية بالتصحيح
في ظل الاستغلال النشط للثغرة، ألزمت CISA الوكالات الفيدرالية ضمن القطاع المدني التنفيذي (FCEB) بتطبيق التحديثات الأمنية اللازمة قبل 2 أكتوبر 2025، وذلك لحماية شبكاتها من محاولات الاختراق المتصاعدة.
