Windchill ve FlexPLM ürünlerindeki ciddi güvenlik açığı, hafta sonu Almanya genelinde polisi harekete geçirdi. Federal Kriminal Polis Dairesi'nin (BKA) talebi üzerine polis memurları, etkilenen şirketleri uyarmak için ülke çapında müdahalede bulundu; bu benzeri görülmemiş bir olaydı. Hafta sonları çalınan yöneticiler öfkeliydi: Bazıları bu güvenlik açığı bulunan yazılımı kullanmıyordu bile.
Duyurudan sonra devamını okuyun
Yazı işleri ekibi Pazar sabahı geç saatlerde Windchill ve FlexPLM'de kritik bir güvenlik açığı olduğuna dair bir rapor aldığında, bu rutin bir rapor gibi görünüyordu: özel yazılımdaki bir seri durumdan çıkarma açığı, maksimum CVSS derecesi 10 olmasına rağmen herhangi bir çılgın güvenlik sorununa neden olmuyor. Görünüşe göre BKA'da durum tamamen farklıydı: Bu zamana kadar birçok federal eyaletteki Eyalet Kriminal Soruşturma Ofisleri (LKA) zaten alarma geçirilmiş ve geceleyin etkilenen şirketlere polis memurları gönderilmişti. Forumdaki birçok okuyucunun bize söylediği gibi, polis memurları geceleri şirket ve özel binaların önünde bulundu.
Almanya'da sabah saat üç buçuk
Alışılmadık görevleri: Yetkililer, uykulu yöneticilere, üretici PTC'nin bir gün önce tüm müşterilere gönderdiği ve düzeltme talimatlarını içeren mektubun bir kopyasını verdi. İlgilenen bir kişi şunu bildirdi: “Polis sabah saat dört buçukta kapımızdaydı. Daha sonra bir üretim çalışanı genel müdüre haber verdi, o da bana ya da bir meslektaşıma haber verdi.” Eylemin aciliyeti onu şaşırttı: “Sunucularımıza yalnızca dahili olarak erişilebiliyor ve WAN üzerinden iletişim kuramıyoruz. Erişimine izin verilen istemcilerin sayısı da oldukça sınırlı (birkaç VLAN).”
Başka bir okuyucu Pazar sabahı saat 2.45 civarında bir telefon aldı ve bunu şaka olarak algıladı, ta ki kısa bir süre sonra polis kapı zilini çalana kadar. Ve hepsi boşuna: Şirketi PTC ürünlerini kullanıyor olsa da güvenlik açığından etkilenenleri kullanmıyor.
Talebimiz üzerine çeşitli eyalet ceza soruşturma ofisleri prosedürü onayladı. LKA Thüringen yaptığı açıklamada şunları yazıyor: “Federal Kriminal Polis Ofisi, LKA Thüringen'e Thüringen merkezli etkilenen şirketlerin bir listesini gönderdi. Siber Suçlar için Merkezi İrtibat Noktası (ZAC) Thüringen daha sonra kişisel temas başlattı ve bulunamazsa telefon bağlantısı kurmaya çalıştı. Amaç, farkındalığı artırmak ve mümkün olan en kısa sürede koruyucu önlemleri başlatmaktı. Ulaşılan şirketler zaten PTC Inc. şirketi tarafından bilgilendirildi ve güvenlik önlemlerini aldı.” Rheinland-Pfalz ve Schleswig-Holstein eyalet yargı daireleri de operasyonları doğruladı. Ancak Hamburg ve Aşağı Saksonya'da telefon ve e-posta yoluyla iletişim kurmak gibi daha yumuşak yöntemler kullanıldı: buralarda ev ziyareti yapılmadı.
BKA, PTC, BSI – Saygılarımla
Duyurudan sonra devamını okuyun
Koordineli ve son derece personel yoğun yaklaşım (Almanya'da etkilenen binden fazla müşterinin gizli konuşması var) çok sıradışı ve şu ana kadar Almanya'da benzersiz. Özellikle ne Almanya'da siber güvenlikten sorumlu federal otorite olan BSI ne de ABD'deki mevkidaşı CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı) şu ana kadar özellikle güçlü bir uyarıda bulunmadığı için. Pazartesi öğleden sonra BSI, Uyarı ve Bilgi Servisi'nde bir duyuru yayınladı, ancak CISA sessiz kaldı. “Kullanılan Bilinen Güvenlik Açıkları” listesindeki en son giriş 20 Mart'a kadar uzanıyor ve Apple ürünleriyle ilgili.
BKA, BSI ve üretici PTC'ye bu alışılmadık prosedürle ilgili görüşlerini sorduk. PTC ve BKA Pazartesi günü öğleden sonra henüz yanıt vermemiş olsa da BSI ihtiyatı dile getirdi. Bir sözcü bize, güvenlik açıklarına ilişkin değerlendirme kriterlerinin “özellikle güvenlik açığının özelliklerini, aynı zamanda ürünün dağıtımını ve diğer (gerekiyorsa hafifletici) çerçeve koşullarını içerdiğini söyledi. Önemli bir nokta, üreticiler tarafından kullanıcılara sağlanan bilgilerdir. BSI'dan gelen bilgilere göre, üretici tüm müşterileri bilgilendirmiştir.” BSI ayrıca KRITIS operatörlerini ayrıca bilgilendirdi ve resmi sözcü şöyle devam etti: “Bu, NIS2 çerçevesinde de BSI'ya kaydolmanın bir avantajıdır.”
Schrödinger'in IoC'si
Aynı derecede sinir bozucu olan, PTC'nin şu anda “PTC müşterilerini etkileyen doğrulanmış istismara dair hiçbir kanıt bulunmadığı” yönündeki resmi tutumudur. Nedeni: Görünüşe göre müşterilere güvence vermeyi amaçlayan bu cümlenin birkaç satırında, PTC, saldırıya uğrayan sistemlerde belirli bir sınıf dosyasının (GW.class) varlığı da dahil olmak üzere, çok özel güvenlik ihlali göstergelerini (IoC) adlandırıyor. Bu dosya bir Windchill sunucusunda bulunursa, bu “saldırganın uzaktan kod yürütme (RCE) gerçekleştirmeden önce sistemi başarıyla silahlandırdığını” gösterir. Schrödinger IoC: Şirkete göre, bir saldırgan olmasına ve hedeflenen sistemlerde kötü amaçlı kod bulunmasına rağmen başarılı bir saldırı gerçekleştirilemedi.
PTC'den de bu tutarsızlıkla ilgili bir açıklama istedik. Pazartesi öğleden sonranın erken saatlerinden itibaren üretici henüz güvenlik açığına yönelik herhangi bir yama yayınlamamıştı ve insanlar hala olağan veritabanlarında boş yere bir CVE kimliği arıyorlardı. Ancak bu, CTI (Siber Tehdit İstihbaratı) yayınları gibi yapılandırılmış listelere dahil edilmesini sağlamak için gereklidir.
Güncelleme
15.34
Saat
Diğer eyalet ceza soruşturma ofislerinin ifadeleri eklendi.
(cku)
Bir yanıt yazın