PTC предупреждает о критической уязвимости в Windchill и FlexPLM, которая уже эксплуатируется злоумышленниками

Уязвимость затрагивает широкий спектр версий Windchill и FlexPLM, используемых на предприятиях машиностроения, авиастроения и других отраслей, где применяются системы управления данными об изделиях. PTC настоятельно рекомендует клиентам немедленно установить доступные исправления и провести проверку инфраструктуры на наличие признаков атаки. Для версий 11.0 M030, 11.2.1, 12.0.2, 12.1.2, 13.0.2, 13.1.1 и 111.1 M020 уже выпущены патчи, скачать которые можно через портал eSupport.

Согласно оперативному анализу инцидента, специалистам PTC удалось выявить характерные индикаторы, указывающие на компрометацию. Атакующие используют уязвимость для развёртывания постоянных веб-шеллов (вредоносных скриптов, обеспечивающих удалённое управление сервером) в директории /Windchill/login/. Эти шеллы получают имена из 16 шестнадцатеричных символов, что затрудняет их поиск стандартными методами. Известны как минимум шесть конкретных путей к таким файлам, однако PTC предупреждает, что злоумышленники могут создавать новые экземпляры с любыми комбинациями символов.

Для управления скомпрометированными серверами применяется несколько командных серверов (C2). Один из IP-адресов (5.180.41.35) уже заблокирован в рекомендациях, но в дальнейшем были добавлены новые адреса. Атакующие также используют нестандартный HTTP-заголовок X-windchill-req, который не имеет легитимного применения в продукте. Первый символ этого заголовка служит селектором команды для шелла.

Кроме того, обнаружены признаки предварительной разведки, характерные именно для FlexPLM. Перед развёртыванием веб-шелла злоумышленники отправляют GET-запрос к определённому WSDL-пути и получают ответ размером 4045 байт. Этот шаблон можно использовать для раннего выявления атак.

Последствия успешной эксплуатации уязвимости могут быть крайне серьёзными. Получив контроль над сервером Windchill, злоумышленник способен не только выполнять команды, но и загружать, изменять или похищать конфиденциальные данные об изделиях, а также нарушить работу критических бизнес-процессов. В одном из индикаторов упоминается файл flst.txt, размещаемый в /tmp или рабочей директории Windchill, что подтверждает активность по сбору списка файлов на сервере.

PTC настоятельно призывает клиентов выполнить ряд немедленных действий. Прежде всего необходимо заблокировать на периметральном межсетевом экране все известные IP-адреса C2. Затем следует проверить журналы доступа на наличие POST-запросов к любому URL с путём /Windchill/login/*.jsp - легитимный трафик Windchill никогда не использует метод POST для этой директории. Дополнительно требуется просканировать файловую систему на предмет JSP-файлов, соответствующих шаблону 16 шестнадцатеричных символов, и сверить их хеш с опубликованным эталоном (55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c). Наличие файла flst.txt также является однозначным признаком взлома.

Для систем, где это возможно, рекомендуется ограничить прямой доступ к Windchill из интернета, особенно к конечной точке входа в систему. На уровне WAF или IDS следует добавить правило, блокирующее запросы, содержащие заголовок X-windchill-req, а также настроить оповещение на большие POST-ответы (несколько мегабайт), исходящие от JSP-файлов в папке Windchill. Подписчикам портала eSupport рекомендуется отслеживать обновления статьи CS473270, где публикуются новые индикаторы и версии патчей.

PTC сообщает, что для клиентов, чьи инстанции Windchill и FlexPLM размещены на стороне поставщика, меры по устранению уязвимости принимаются автоматически. Дополнительных действий от таких заказчиков не требуется, хотя PTC может связаться с ними для уточнения деталей. Всем остальным организациям следует немедленно применить доступные патчи и провести полный аудит безопасности своих систем. Ситуация остаётся в центре внимания, и компания обещает оперативно публиковать новые данные по мере их появления.

IPv4

• 104.243.35.131
• 172.111.38.31
• 216.152.148.54
• 5.180.41.35
• 74.50.76.146

SHA256

• 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c