CISA alerta sobre explotación activa de crítica vulnerabilidad en DELMIA Apriso (CVE-2025-5086)

Introducción

El panorama de amenazas continúa evolucionando, especialmente en el sector industrial, donde la convergencia entre IT y OT (tecnología operativa) amplifica los riesgos. El 27 de junio de 2024, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) incluyó en su catálogo KEV (Known Exploited Vulnerabilities) una vulnerabilidad crítica que afecta a la suite DELMIA Apriso de Dassault Systèmes, un componente central en la gestión de operaciones de fabricación (MOM). Esta inclusión responde a la confirmación de explotación activa en entornos productivos, lo que supone una alerta máxima para responsables de ciberseguridad en infraestructuras industriales.

Contexto del Incidente o Vulnerabilidad

DELMIA Apriso es una plataforma ampliamente utilizada para la gestión y optimización de procesos industriales en sectores como automoción, aeroespacial, química y manufactura avanzada. Su despliegue es habitual en entornos industriales críticos donde la disponibilidad y la integridad de los sistemas son esenciales para la continuidad del negocio. La vulnerabilidad identificada, catalogada como CVE-2025-5086, afecta a versiones específicas de este software y ha sido calificada con un CVSS de 9.0 sobre 10, lo que la sitúa en el rango de criticidad máxima. Su explotación permite a actores maliciosos comprometer la plataforma, impactando directamente en la producción y la seguridad de la información.

Detalles Técnicos

CVE-2025-5086 describe un fallo de seguridad en el mecanismo de autenticación de DELMIA Apriso MOM, que permite la ejecución remota de código sin necesidad de credenciales válidas (Remote Code Execution, RCE). El vector de ataque principal se basa en el acceso a una interfaz de administración expuesta, combinando técnicas de deserialización insegura con explotación de credenciales predeterminadas o nulas.

– Versiones afectadas: DELMIA Apriso MOM 2023x, 2024x y posiblemente versiones anteriores no parcheadas.
– Vectores de ataque: Exposición de puertos de gestión (por defecto TCP 8080/8443), uso de API REST sin controles de autenticación robustos, y endpoints SOAP vulnerables.
– TTPs MITRE ATT&CK: TA0001 (Initial Access) mediante explotación de servicios remotos (T1190), TA0002 (Execution) por ejecución remota de código (T1059).
– IoC conocidos: Conexiones entrantes inusuales en puertos asociados, cargas útiles identificadas que incluyen scripts PowerShell y ejecutables binarios cifrados.
– Herramientas empleadas: Se han observado intentos de explotación automatizada mediante frameworks como Metasploit y Cobalt Strike, favoreciendo la persistencia y el movimiento lateral tras la explotación inicial.

Impacto y Riesgos

La explotación de CVE-2025-5086 puede derivar en el control total del sistema vulnerable, permitiendo la alteración de procesos productivos, robo de propiedad intelectual y sabotaje industrial. Los atacantes pueden acceder, modificar o eliminar datos críticos, desplegar ransomware dirigido y persistir lateralmente en la red OT. Según estimaciones sectoriales, más del 30% de las instalaciones de DELMIA Apriso no aplican parches de seguridad en los primeros 60 días tras su publicación, amplificando el riesgo de ataques exitosos.

En el contexto normativo, una brecha que afecte a datos personales o la disponibilidad de servicios esenciales puede tener implicaciones directas bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2 sobre seguridad de redes y sistemas de información, con posibles sanciones económicas y reputacionales.

Medidas de Mitigación y Recomendaciones

Dassault Systèmes ha publicado parches de seguridad para las versiones afectadas. Se recomienda:

– Aplicar de inmediato los parches oficiales para DELMIA Apriso MOM 2023x y 2024x.
– Restringir el acceso a las interfaces de administración a redes de gestión segmentadas y monitorizadas.
– Revisar la exposición de puertos y servicios asociados en cortafuegos y sistemas de detección de intrusiones.
– Implementar autenticación multifactor y rotación de credenciales.
– Monitorizar logs y tráfico de red en busca de IoC asociados a la vulnerabilidad.
– Realizar un análisis forense en sistemas potencialmente comprometidos y validar la integridad de los procesos industriales.

Opinión de Expertos

Expertos en ciberseguridad industrial, como el equipo de Dragos y los analistas de SANS ICS, destacan que “la criticidad de CVE-2025-5086 reside en la naturaleza transversal de los sistemas MOM y su papel como punto de convergencia entre IT y OT”. La explotación activa demuestra el interés creciente de grupos APT en infraestructuras manufactureras, donde el impacto de una intrusión puede ser devastador tanto a nivel económico como operacional.

Implicaciones para Empresas y Usuarios

Para los responsables de seguridad (CISOs), analistas SOC y administradores de sistemas, este incidente subraya la urgencia de priorizar la gestión de vulnerabilidades en sistemas industriales. La falta de actualización y segmentación en entornos OT sigue siendo una de las principales causas de éxito en ataques dirigidos. Además, las organizaciones deben revisar sus procedimientos de notificación y respuesta ante incidentes, en consonancia con las exigencias de GDPR y NIS2.

Conclusiones

La inclusión de CVE-2025-5086 en el KEV de CISA marca un nuevo hito en la amenaza real sobre sistemas industriales críticos. La explotación activa de esta vulnerabilidad exige una respuesta inmediata basada en la aplicación de parches, el refuerzo de controles de acceso y la monitorización avanzada. El caso refuerza la necesidad de una cooperación estrecha entre equipos IT y OT, así como la adopción de marcos de gestión de riesgo industrial adaptados a las nuevas tendencias de ataque.

(Fuente: feeds.feedburner.com)