Компания PTC Inc. предупреждает о критической уязвимости в широко используемых решениях для управления жизненным циклом продукта (PLM) Windchill и FlexPLM, которая может позволить удаленное выполнение кода.
Проблема безопасности, идентифицированная как CVE-2026-4681, может быть использована посредством десериализации доверенных данных.
Серьезность этой уязвимости побудила власти Германии принять экстренные меры: по сообщениям, Федеральное ведомство уголовной полиции (BKA) направило своих сотрудников в затронутые компании, чтобы уведомить их о риске кибербезопасности.
Исправлений в разработке
Официальные исправления пока недоступны, но PTC заявляет, что «активно разрабатывает и выпускает исправления безопасности для всех поддерживаемых версий Windchill» для устранения проблемы.
По данным поставщика, уязвимость затрагивает большинство поддерживаемых версий Windchill и FlexPLM, включая все версии с критическими наборами исправлений (CPS).
До появления исправлений системным администраторам рекомендуется применить предоставленное поставщиком правило для Apache/IIS, запрещающее доступ к затронутому пути сервлета. PTC отметила, что эта мера смягчения последствий не нарушает функциональность.
Та же мера смягчения должна быть применена ко всем развертываниям, включая Windchill, FlexPLM и любые файловые/репликационные серверы, а не только к системам, доступным из Интернета. Однако PTC советует в первую очередь применять меры смягчения к экземплярам, доступным из Интернета.
Если смягчение невозможно, поставщик рекомендует временно отключить затронутые экземпляры от Интернета или остановить службу.
Доступны индикаторы компрометации
Компания заявляет, что не обнаружила никаких доказательств того, что уязвимость эксплуатируется в отношении клиентов PTC. Тем не менее, PTC опубликовала набор конкретных индикаторов компрометации (IoC), которые включают строку агента пользователя (user agent string) и файлы.
Кроме того, в бюллетене перечислены рекомендации по обнаружению, включая проверку на наличие веб-шеллов (файлы GW.class, payload.bin или dpr_<random>.jsp), подозрительных запросов с такими шаблонами, как run?p= / .jsp?c= в сочетании с необычной активностью User-Agent, ошибок, ссылающихся на GW, GW_READY_OK, или неожиданных исключений шлюза.
“Наличие GW.class или dpr_<8-hex-digits>.jsp на сервере Windchill указывает на то, что злоумышленник завершил подготовку системы к атаке перед выполнением удаленного кода (RCE)” – PTC
Кроме того, в электронном письме клиентам, которое видел BleepingComputer, компания заявила, что «имеются достоверные свидетельства неминуемой угрозы со стороны сторонней группы, направленной на эксплуатацию уязвимости».
По данным Heise, сотрудники BKA были направлены на выходных для оповещения компаний по всей стране о риске CVE-2026-4681, даже тех, которые не использовали ни один из затронутых продуктов.
Немецкое издание сообщает, что BKA будили системных администраторов посреди ночи, чтобы вручить им копию уведомления PTC, а также уведомили земельные управления уголовной полиции (LKA) в различных федеральных землях.
Эта необычная и срочная реакция властей вызвала опасения, что CVE-2026-4681 может эксплуатироваться или, вероятно, будет эксплуатироваться в ближайшее время.
Учитывая, что системы PLM также используются инженерными фирмами в разработке систем вооружения, промышленном производстве и критически важных цепочках поставок, реакция властей может быть оправдана необходимостью защиты от промышленного шпионажа и других рисков национальной безопасности.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
