Windchill ve FlexPLM yazılımı, kod yürütülmesine izin veren bir güvenlik açığı içerir. Üretici acilen güvenlik önlemlerinin alınmasını istiyor; henüz bir yama mevcut değil.
Reklamdan sonra devamını okuyun
Güvenlik açığıyla ilgili bilgiler çok az; ne bir CVE tanımlayıcısı ne de ulusal CERT'lerden (Bilgisayar Acil Durum Müdahale Ekibi) gelen uyarılar mevcut. Ancak üretici ve ortakları endişeli görünüyor: CVSS ölçeğinde en yüksek puanı 10,0 ile veriyorlar ve müşterilerin derhal tepki vermesini istiyorlar.
Görünüşe göre hata servletlerin seri durumdan çıkarılmasında gizli /servlet/WindchillGW/com.ptc.wvs.server.publish.Publish Ve /servlet/WindchillAuthGW/com.ptc.wvs.server.publish.Publish. Bunlara bir saldırgan erişebiliyorsa (örneğin Windchill sunucusuna internetten erişilebildiği için), kodu enjekte edebilir ve çalıştırabilir.
Birçok sürüm etkilendi
Üretici PTC'nin bilgi tabanındaki son derece kısa güvenlik bildirimine göre, güvenlik açığı aşağıdaki sürümleri etkiliyor:
- Windchill PDMLink 11.0 M030
- Windchill PDMLink 11.1 M020
- Windchill PDMLink 11.2.1.0
- Windchill PDMLink 12.0.2.0
- Windchill PDMLink 13.0.2.0
- Windchill PDMLink 13.1.0.0
- Windchill PDMLink 13.1.1.0
- Windchill PDMLink 13.1.2.0
- Windchill PDMLink 13.1.3.0
- Windchill PDMLink 12.1.2.0
- FlexPLM 11.0 M030
- FlexPLM 11.1 M020
- FlexPLM 11.2.1.0
- FlexPLM 12.0.0.0
- FlexPLM 12.0.2.0
- FlexPLM 12.0.3.0
- FlexPLM 12.1.2.0
- FlexPLM 12.1.3.0
- FlexPLM 13.0.2.0
- FlexPLM 13.0.3.0
Geçici Çözüm: Apache yapılandırması aracılığıyla erişimi kısıtlayın
Reklamdan sonra devamını okuyun
Bir yama mevcut olana kadar yöneticilerin acil bir çözüme başvurması gerekir. Windchill hizmet sağlayıcısı EAC'nin müşterilerine gönderdiği bir postada açıkladığı gibi, bunun için Apache web sunucusunda bir yapılandırma değişikliği yapılması gerekiyor. EAC'a göre bu, hemen bir istismar riskini etkisiz hale getirmek için olur.
- Yeni bir yapılandırma dosyası oluşturma
<APACHE_HOME>/conf/conf.d/90-app-Windchill-Auth.conf. 90- veya üzeri öneke sahip bir dosya zaten mevcutsa, yeni dosyaya son dosya olarak yüklenebilmesi için en yüksek sayı verilmelidir) - Buna aşağıdaki yönergeleri ekleyin:
<LocationMatch "^.*servlet/(WindchillGW|WindchillAuthGW)/com.ptc.wvs.server.publish.Publish(?:;[^/]*)?/.*$">Require all denied</LocationMatch> - Tanıdık komutları kullanarak web sunucusunu yeniden başlatın.
Görünüşe göre aktif saldırılar – yöneticiler gözlerini açık tutmalı
Üretici başarılı saldırılara ilişkin hiçbir bilgisi olmadığını iddia etse de, hizmet sağlayıcı EAC bazı “Uzlaşma Göstergeleri” (IOC) adını veriyor. Yani Windchill veya FlexPLM sunucularına yönelik saldırılar zaten olmuş olmalı. IOC'ler, başarılı bir istismarın ardından saldırganların kötü amaçlı kod içeren dosyaları, genellikle web kabuklarını sunucuya yüklediğini gösteriyor. PTC'nin kendisi tarafından işletilen bulut sunucuları zaten korunmaktadır.
Güvenli olmayan seri durumdan çıkarma, istismarlar için bilinen bir ağ geçididir ve siber suçlular ve hükümet saldırganları arasında popülerdir. Sadece birkaç gün önce, ABD siber güvenlik kurumu Microsoft Sharepoint'teki Bilinen İstismar Edilen Güvenlik Açıkları veritabanına başka bir seri durumdan çıkarma güvenlik açığı ekledi.
(cku)
Bir yanıt yazın