Selon le SANS Internet Storm Center (diary de Johannes B. Ullrich), des tentatives d’exploitation ciblent DELMIA Apriso (MOM/MES de Dassault Systèmes) pour la vulnérabilité référencée CVE-2025-5086, décrite comme une désérialisation de données non fiables menant à une exécution de code à distance (RCE) sur les versions 2020 à 2025.

L’auteur indique observer des requêtes POST vers l’endpoint SOAP de DELMIA Apriso (port 9000) utilisant l’action IFlexNetOperationsService/Invoke. Les scans proviennent de l’IP 156.244.33.162 (géolocalisation incertaine). Le cœur de l’attaque repose sur un objet sérialisé déclenchant un flux de désérialisation .NET.

Techniquement, le payload encodé dans le champ string est un XAML qui exploite System.Windows.Markup.XamlReader pour convertir une chaîne Base64 en flux, la décompresser via GZipStream, puis charger un assembly en mémoire avec Assembly.Load, récupérer un type (GetTypes) et invoquer un membre via InvokeMember — une chaîne de gadgets typique de RCE .NET par XAML. Deux blocs Base64 identiques décodent en un exécutable Windows GZIP. VirusTotal ne le signale pas, tandis que Hybrid Analysis le classe malveillant. Une chaîne « Project Discovery CVE-2025-5086 » est présente dans le binaire, suggérant l’usage d’un scanner de vulnérabilités.

IOCs observés 🔎

  • IP source: 156.244.33.162
  • Endpoint ciblé: http://[cible]:9000/apriso/WebServices/FlexNetOperationsService.svc/Invoke
  • SOAPAction: http://tempuri.org/IFlexNetOperationsService/Invoke
  • User-Agent: aléatoire (randomized)
  • Fichier/payload: exécutable Windows GZIP, SHA256: 292ea9dbc5a1d15b769edb5df1602418931122455223081064ad7ea4e8ab6821
  • Chaîne dans le binaire: “Project Discovery CVE-2025-5086”

TTPs 🛠️

  • Exploitation d’un service web exposé (SOAP) sur DELMIA Apriso pour une RCE
  • Désérialisation .NET via XamlReader.Parse et ObjectDataProvider
  • Chargement d’assembly en mémoire (Assembly.Load) et réflexion (InvokeMember)
  • Encodage/Compression du payload (Base64 + GZip) pour le transfert
  • Scan actif depuis une IP unique suggérant automatisation

Type d’article: note/diary d’analyse technique visant à documenter un vecteur d’exploitation observé et le comportement du payload.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation d’un service web exposé (SOAP) sur DELMIA Apriso pour une RCE’, ‘Désérialisation .NET via XamlReader.Parse et ObjectDataProvider’, ‘Chargement d’assembly en mémoire (Assembly.Load) et réflexion (InvokeMember)’, ‘Encodage/Compression du payload (Base64 + GZip) pour le transfert’, ‘Scan actif depuis une IP unique suggérant automatisation’]

IOC

{‘ip’: ‘156.244.33.162’, ’endpoint’: ‘http://[cible]:9000/apriso/WebServices/FlexNetOperationsService.svc/Invoke’, ‘soap_action’: ‘http://tempuri.org/IFlexNetOperationsService/Invoke', ‘user_agent’: ‘aléatoire (randomized)’, ‘hash’: ‘292ea9dbc5a1d15b769edb5df1602418931122455223081064ad7ea4e8ab6821’, ‘binary_string’: ‘Project Discovery CVE-2025-5086’}

🔗 Source originale : https://isc.sans.edu/diary/Exploit+Attempts+for+Dassault+DELMIA+Apriso+CVE20255086/32256