PTC предупредува за непосредна закана од критична RCE ранливост во Windchill и FlexPLM

PTC Inc. предупредува за критична ранливост во Windchill и FlexPLM, широко користени решенија за управување со животниот циклус на производи (PLM), која може да овозможи далечинско извршување на код (RCE).

Безбедносниот проблем, означен како CVE-2026-4681, може да се искористи преку десериализација на доверливи податоци.

Неговата сериозност предизвика итна реакција од германските власти, при што федералната полиција (BKA) наводно испраќа агенти во погодените компании за да ги предупреди за сајбер безбедносниот ризик.

Поправка во развој

Во моментов нема официјални закрпи, но PTC наведува дека „активно развива и објавува безбедносни ажурирања за сите поддржани верзии на Windchill“ со цел да го реши проблемот.

Според производителот, ранливоста ги зафаќа повеќето поддржани верзии на Windchill и FlexPLM, вклучувајќи ги сите критични patch сетови (CPS).

Додека не станат достапни закрпите, се препорачува систем администраторите да применат правило за Apache/IIS обезбедено од производителот, кое го блокира пристапот до погодената servlet патека. PTC нагласува дека оваа мерка не ја нарушува функционалноста.

Истата мерка треба да се примени на сите системи, вклучувајќи:

• Windchill
• FlexPLM
• file/replica сервери

а не само на системите изложени на интернет. Сепак, PTC советува приоритет да имаат интернет-изложените инстанци.

Ако примената на мерките не е возможна, производителот препорачува привремено исклучување на погодените системи од интернет или гасење на сервисот.

Достапни IoC (индикатори на компромитација)

Компанијата наведува дека засега нема докази дека ранливоста се злоупотребува кај нивните клиенти. Сепак, PTC објави сет на специфични индикатори на компромитација (IoC), кои вклучуваат user-agent стринг и одредени датотеки.

Дополнително, во известувањето се наведени препораки за детекција, како што се:

• проверка за webshell датотеки (GW.class, payload.bin или dpr_<random>.jsp)
• сомнителни барања со шаблони како:
  • run?p=
  • /.jsp?c=
    комбинирани со невообичаена User-Agent активност
• грешки што содржат:
  • GW
  • GW_READY_OK
  • неочекувани gateway исклучоци

„Присуството на GW.class или dpr_<8-хексадецимални-цифри>.jsp на Windchill серверот укажува дека напаѓачот ја има завршено фазата на подготовка (weaponization) на системот пред да изврши далечинско извршување на код (RCE)“, соопштува PTC.

Дополнително, во е-пошта до клиентите видена од BleepingComputer, компанијата изјавила дека „постојат веродостојни докази за непосредна закана од трета страна за злоупотреба на ранливоста“.

Според Heise, службеници од германската федерална полиција (BKA) биле испратени за време на викендот за да ги предупредат компаниите низ целата држава за ризикот од CVE-2026-4681, дури и некои кои не користеле ниту еден од засегнатите производи.

Германскиот медиум известува дека BKA ги будела систем администраторите среде ноќ за да им достави копија од известувањето на PTC, а исто така ги известила и државните криминалистички служби (LKA) во различни федерални покраини.

Оваа невообичаена и итна реакција од властите предизвика загриженост дека CVE-2026-4681 може да биде злоупотребена или дека наскоро ќе биде искористена.

Со оглед на тоа што PLM системите се користат и од инженерски компании за дизајн на оружени системи, индустриско производство и критични синџири на снабдување, ваквата реакција на властите може да се оправда со потребата за заштита од индустриска шпионажа и други ризици за националната безбедност.

Извори:

• Bleeping Computer – PTC warns of imminent threat from critical Windchill, FlexPLM RCE bug Bleeping Computer