Windchill ve FlexPLM yazılımı, kod yürütülmesine izin veren bir güvenlik açığı içerir. Üretici acilen güvenlik önlemlerinin alınmasını talep ediyor: yama henüz mevcut değil.
Duyurudan sonra devamını okuyun
Güvenlik açığına ilişkin bilgiler, ne bir CVE tanımlayıcısı ne de ulusal Bilgisayar Acil Durum Müdahale Ekiplerinden (CERT'ler) gelen uyarılar nedeniyle oldukça azdır. Ancak üretici ve ortakları endişeli görünüyor: CVSS ölçeğinde maksimum 10,0 puan veriyorlar ve müşterileri hemen tepki vermeye çağırıyorlar.
Görünüşe göre hata servletlerin seri durumdan çıkarılmasında gizli /servlet/WindchillGW/com.ptc.wvs.server.publish.Publish VE /servlet/WindchillAuthGW/com.ptc.wvs.server.publish.Publish. Bunlara bir saldırgan erişebiliyorsa (örneğin Windchill sunucusuna İnternet'ten erişilebildiği için), kod enjekte edebilir ve yürütebilir.
Birçok sürüm etkilendi
Üretici PTC'nin bilgi tabanında yer alan son derece kısa güvenlik tavsiyesine göre, güvenlik açığı aşağıdaki sürümleri etkiliyor:
- Windchill PDMLink 11.0 M030
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- Windchill PDMLink 12.0.2.0
- Windchill PDMLink 13.0.2.0
- Windchill PDMLink 13.1.0.0
- Windchill PDMLink 13.1.1.0
- Windchill PDMLink 13.1.2.0
- Windchill PDMLink 13.1.3.0
- Windchill PDMLink 12.1.2.0
- FlexPLM 11.0 M030
- FlexPLM 11.1 M020
- FlexPLM 11.2.1.0
- FlexPLM 12.0.0.0
- FlexPLM 12.0.2.0
- FlexPLM 12.0.3.0
- FlexPLM 12.1.2.0
- FlexPLM 12.1.3.0
- FlexPLM 13.0.2.0
- FlexPLM 13.0.3.0
Geçici Çözüm: Apache yapılandırması aracılığıyla erişimi kısıtlayın
Duyurudan sonra devamını okuyun
Bir yama mevcut olana kadar yöneticilerin acil durum düzeltmesine başvurması gerekir. Windchill EAC hizmet sağlayıcısının müşterilerine gönderdiği bir e-postada açıklandığı gibi, bu, Apache Web Sunucusunda bir yapılandırma değişikliği gerektirir. EAC'ye göre bu, hemen bir istismar riskini etkisiz hale getirmek için olur.
- Yeni bir yapılandırma dosyası oluşturma
<APACHE_HOME>/conf/conf.d/90-app-Windchill-Auth.conf. 90 veya üzeri öneke sahip bir dosya zaten mevcutsa, son dosya olarak yüklenecek yeni dosyaya daha yüksek bir sayı atanmalıdır) - Buna aşağıdaki yönergeleri ekleyin:
<LocationMatch "^.*servlet/(WindchillGW|WindchillAuthGW)/com.ptc.wvs.server.publish.Publish(?:;[^/]*)?/.*$">Require all denied</LocationMatch> - Tanıdık komutları kullanarak web sunucusunu yeniden başlatın.
Görünüşe göre aktif saldırılar: yöneticiler dikkatli olmalı
Üretici başarılı saldırılardan habersiz olduğunu iddia etse de, EAC servis sağlayıcısı bazı “Uzlaşma Göstergeleri” (IOC'ler) olarak adlandırıyor. Bu nedenle Windchill veya FlexPLM sunucularına yönelik saldırıların zaten gerçekleşmiş olması gerekir. IOC'ler, başarılı bir istismarın ardından saldırganların kötü amaçlı kod içeren dosyaları (genellikle web kabuklarını) sunucuya yüklediğini gösteriyor. PTC tarafından yönetilen bulut sunucuları zaten korunmaktadır.
Güvenli olmayan seri durumdan çıkarma, istismarlar için bilinen bir ağ geçididir ve siber suçlular ile hükümet saldırganları arasında popülerdir. Sadece birkaç gün önce ABD Siber Güvenlik Ajansı, Microsoft Sharepoint'teki bilinen istismar edilen güvenlik açıklarından oluşan veritabanına bir seri durumdan çıkarma güvenlik açığı daha ekledi.
(cku)
Bir yanıt yazın