CISA تحذر: استغلالات نشطة تكشف ثغرات حرجة في Dassault وXWiki

أعلنت جهات رصد الأمن السيبراني عن استغلالات نشطة تستهدف ثغرات ذات تأثير بالغ في منتجات Dassault Systèmes DELMIA Apriso ومنصة XWiki. تسفر هذه الاستغلالات عن تنفيذ تعليمات برمجية عن بُعد ورفع امتيازات يؤديان إلى اختراق كامل للتطبيقات ونشر برمجيات تعدين على خوادم مخترقة.

ثغرات DELMIA Apriso: سلسلة قد تؤدي إلى سيطرة كاملة

أدرجت جهات أمنية ثغرتين تؤثران على حزمة DELMIA Apriso ضمن سجل الثغرات المستغلة:

• CVE-2025-6204 (CVSS 8.0) — ثغرة حقن شفرة قد تُمكّن المهاجم من تنفيذ أوامر عشوائية.

• CVE-2025-6205 (CVSS 9.1) — ثغرة افتقاد التفويض تسمح برفع امتيازات داخل التطبيق.

تؤثر الثغرتان على نسخ Apriso من إصدارات 2020 إلى 2025، وقد توفَّرت تحديثات تصحيحية من الشركة، لكن رصد استغلالات فعلية دفع الجهات الرقابية لإدراجهما ضمن الثغرات المعروفة قيد الاستغلال.

باحثو أمن أوضحوا كيف يمكن مزج الثغرتين في سلسلة استغلال متكاملة: تُنشَأ حسابات ذات امتيازات مرتفعة ثم تُنقل ملفات تنفيذية إلى مجلدات تُخدَم عبر الويب، ما يفتح الباب أمام السيطرة الكاملة على التطبيق واستغلاله كنقطة انطلاق لاختراق بيئة الإنتاج داخليًا.

XWiki: استغلال نقطة تقييم ديناميكي يؤدي إلى نشر مُعدِّنات

ثغرة CVE-2025-24893 (CVSS 9.8) في XWiki تُعدُّ من أخطر ما رصد الباحثون؛ فهي تتيح لأي مستخدم ضيف — دون مصادقة — تنفيذ كود عن بُعد عبر نداء إلى نقطة النهاية المسؤولة عن استدعاءات ديناميكية. استغلال هذه الثغرة رُصِد باعتباره جزءًا من هجوم من مرحلتين: المرحلة الأولى تُسجِّل ملف تنزيل على الخادم، ثم بعد فترة زمنية تُنفَّذ المرحلة الثانية لتشغيل الحمولة وتحميل تعدين العملات أو برمجيات إضافية.

تفاصيل الهجوم تُظهر استخدام أوامر تحميل قياسية لحمل برامج تنزيل مؤقتة في مسارات نظام مؤقتة، ثم استدعاء حمولات تزيل منافسين للتعدين وتشغّل تكوينات التعدين الخاصة بالمهاجم، ما يدل على أهداف ربحية واضحة بالإضافة إلى الإمكانية للتحول إلى اختراقات أكثر تعقيدًا داخل الشبكة.

دلالات الهجمات وامتدادها العملي

ربط ثغرات تطبيقية شائعة مع رغبة المهاجمين في نشر برامج تعدين يجعل من هذه الحوادث مثالًا على استغلال ذي عائد سريع. ومع ذلك، قد تتطور هذه الحوادث إلى مراحل أخطر—مثل تحويل الخوادم المخترقة إلى بوابات خلفية تستخدم في حركات جانبية أو سرقة بيانات حساسة. كما أن استمرارية محاولات الاستغلال على مدى أشهر تدل على نشاط منظّم ومُصمّم للاستفادة القصوى من نقاط الضعف قبل نشر التصحيحات.

من الناحية التنظيمية، طالبت جهات رقابية مؤسسات معينة بتطبيق التصحيحات المناسبة ضمن جداول زمنية إلزامية، ما يرفع مستوى الضرورة لتحديث أنظمة DELMIA Apriso وXWiki سريعًا لتقليل مخاطر الاستهداف المؤسساتي.

توصيات فنية عاجلة للتخفيف والرد السريع

في ضوء الاستغلالات الفعلية والإمكانات الهجومية المرتفعة الخطورة، يُنصح باتباع حزمة إجراءات فورية ومراقبات مستمرة:

1. التصحيح الفوري: طبّق تحديثات المزود لثغرات CVE-2025-6204 وCVE-2025-6205 على جميع منصات DELMIA Apriso فورًا؛ وإذا تعذّر التحديث لأسباب تشغيلية، فاعزل الأنظمة المتأثرة عن الشبكة العامة حتى إتمام التصحيح.

2. حصر الوصول إلى واجهات حساسة: لمشغلي XWiki، صحّحوا الثغرة CVE-2025-24893، وقيّدوا أو عطّلوا الوصول غير الضروري إلى نقاط النهاية الديناميكية عبر WAF أو قواعد تصفية الطلبات.

3. مراقبة أنماط الاستغلال ثنائية المراحل: راقبوا سلوكيات تسجيل ملفات مؤقتة ثم تنفيذها بعد فترات فاصلة؛ ضعوا قواعد لكشف أوامر تحميل غير مصرح بها أو عمليات كتابة في مجلدات أو مسارات تنفيذية مؤقتة.

4. استيراد مؤشرات البنية التحتية: أدرجوا مؤشرات الشبكة والبُنى التحتية المرتبطة بحملات الاستغلال في أنظمة SIEM وNDR لتفعيل إنذارات فورية عند اتصالات مشبوهة بخوادم خارجية.

5. تدقيق صلاحيات الكتابة والنشر: قيّموا أذونات التطبيقات التي تسمح بكتابة محتوى يُخدَم عبر الويب، وقصروا قدرة التطبيقات على إنشاء ملفات تنفيذية أو تحميل حزم بدون تحقق صارم.

6. خطة استجابة للحوادث: جهّزوا إجراءات احتواء سريعة تشمل تعطيل الحسابات المصابة، استعادة من نسخ احتياطية سليمة، ومسح الخوادم للكشف عن بوابات خلفية أو برامج تعدين.

7. تعزيز طبقات الحماية: استخدموا قوائم حظر ديناميكية لعناوين IP المشبوهة، وفعّلوا مراقبة سلوك العمليات على الخوادم لاكتشاف محاولات التعدين أو تغيّر العمليات الروتينية.