AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**CISA alerta sobre la explotación activa de vulnerabilidades críticas en DELMIA Apriso**

admin

### 1. Introducción

El panorama de amenazas industriales ha vuelto a recibir un duro golpe tras la reciente alerta emitida por la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA). El organismo ha confirmado la explotación activa de dos vulnerabilidades críticas en DELMIA Apriso, el sistema de gestión y ejecución de operaciones de manufactura (MOM/MES) desarrollado por Dassault Systèmes. Estas vulnerabilidades, que afectan a entornos industriales y de fabricación, ponen en riesgo la integridad de los procesos de producción y pueden tener consecuencias económicas y operativas significativas para las organizaciones que utilizan este software.

### 2. Contexto del Incidente o Vulnerabilidad

DELMIA Apriso es una solución ampliamente adoptada en sectores industriales para la gestión de la producción, logística y calidad. Según datos de mercado, más del 30% de las grandes empresas manufactureras globales emplean MOM o MES de Dassault Systèmes para optimizar y monitorizar sus operaciones en tiempo real.

La advertencia de CISA surge tras la identificación de campañas activas de explotación dirigidas contra instalaciones industriales que no han aplicado los parches de seguridad pertinentes. La alerta se suma a la lista creciente de incidentes que demuestran la elevada exposición de los entornos OT (tecnología operativa) frente a amenazas avanzadas, especialmente en el contexto de la convergencia IT/OT y el aumento de ataques como ransomware industrial y ciberespionaje.

### 3. Detalles Técnicos

#### Vulnerabilidades implicadas

Las dos vulnerabilidades explotadas han sido catalogadas como CVE-2024-23897 y CVE-2024-23898. Ambas afectan a versiones de DELMIA Apriso anteriores a la 2023x FP. Dassault Systèmes ha publicado actualizaciones para mitigar estos fallos, pero muchas organizaciones siguen expuestas por la lentitud en la aplicación de parches en entornos industriales.

– **CVE-2024-23897**: Se trata de una vulnerabilidad de ejecución remota de código (RCE) a través de la interfaz web del MOM/MES. Permite a un atacante no autenticado ejecutar comandos arbitrarios en el servidor afectado, aprovechando una validación inadecuada de los datos de entrada. El vector de ataque es de bajo perfil, lo que facilita campañas automatizadas contra objetivos expuestos.
– **CVE-2024-23898**: Esta vulnerabilidad permite la escalada de privilegios explotando un error de control de acceso en los módulos de integración. Un atacante autenticado puede obtener permisos administrativos y manipular flujos de trabajo críticos.

#### Tácticas, Técnicas y Procedimientos (TTP)

Según CISA y fuentes de inteligencia de amenazas, los atacantes están empleando técnicas del framework MITRE ATT&CK, especialmente las relacionadas con la obtención de acceso inicial (T1190: Exploit Public-Facing Application), ejecución remota (T1059: Command and Scripting Interpreter) y escalada de privilegios (T1068: Exploitation for Privilege Escalation). Se han detectado intentos de explotación con herramientas como Metasploit y Cobalt Strike.

#### Indicadores de Compromiso (IoC)

– Solicitudes HTTP/S anómalas en los endpoints de administración.
– Procesos desconocidos ejecutados por el usuario del servicio Apriso.
– Conexiones salientes desde los servidores a direcciones IP asociadas a infraestructuras de C2 conocidas.

### 4. Impacto y Riesgos

La explotación de estas vulnerabilidades permite a los atacantes tomar control total sobre los sistemas de gestión de producción. Los riesgos incluyen:

– Interrupción de procesos industriales críticos.
– Manipulación o robo de datos de producción y propiedad intelectual.
– Riesgo de despliegue de ransomware que paralice la cadena de suministro.
– Incumplimiento de regulaciones como el GDPR y la inminente NIS2, con potenciales sanciones económicas.

Según estimaciones del sector, el coste medio de una interrupción de producción causada por incidentes cibernéticos supera los 250.000 € por hora en grandes plantas manufactureras.

### 5. Medidas de Mitigación y Recomendaciones

CISA y Dassault Systèmes recomiendan las siguientes acciones inmediatas:

– **Aplicación urgente de parches**: Actualizar DELMIA Apriso a la versión 2023x FP o superior.
– **Monitorización reforzada**: Implementar reglas de detección específicas en SIEM y EDR para identificar patrones anómalos asociados a los IoC mencionados.
– **Restricción de acceso**: Limitar la exposición de interfaces web y APIs de Apriso a redes internas segmentadas.
– **Principio de mínimo privilegio**: Revisar y limitar los permisos de las cuentas de servicio y usuarios.
– **Backups y pruebas de recuperación**: Garantizar la existencia de copias de seguridad fuera de línea y ensayar su restauración periódicamente.

### 6. Opinión de Expertos

Expertos en ciberseguridad industrial, como Sergio García, director del área OT en S2 Grupo, advierten: “La lentitud en la aplicación de parches en entornos industriales sigue siendo el principal vector de riesgo. Los atacantes conocen estos plazos y centran sus campañas en sistemas OT donde las ventanas de mantenimiento son escasas”.

Por su parte, el investigador de amenazas de Dragos, Iván Sánchez, subraya: “Las vulnerabilidades en DELMIA Apriso confirman que las amenazas a la industria 4.0 ya no son teóricas. La sofisticación de los TTP observados indica la presencia tanto de grupos APT como de cibercriminales orientados al lucro”.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que utilicen DELMIA Apriso deben considerar este incidente como un aviso para revisar sus estrategias de ciberseguridad OT. Además de las consecuencias directas sobre la producción y las posibles sanciones regulatorias, la exposición de datos industriales sensibles puede impactar en la competitividad y reputación empresarial.

La llegada de la directiva NIS2 en la UE endurecerá los requisitos de protección y notificación de incidentes para infraestructuras críticas, lo que hace imprescindible fortalecer los procesos de gestión de vulnerabilidades y respuesta a incidentes.

### 8. Conclusiones

Las vulnerabilidades detectadas en DELMIA Apriso ponen sobre la mesa la urgencia de adoptar una postura proactiva en ciberseguridad industrial, donde la gestión ágil de parches, la monitorización continua y el refuerzo de la segmentación de redes son medidas imprescindibles. La explotación activa de estos fallos evidencia que los entornos OT son un objetivo prioritario para actores avanzados y motivados económicamente. Solo una colaboración estrecha entre equipos IT y OT, junto a la adopción de buenas prácticas y cumplimiento regulatorio, permitirá minimizar el impacto de estas amenazas en la economía y la sociedad digital.

(Fuente: www.bleepingcomputer.com)