Datenschutz & Sicherheit

Zero-Day erlaubt Codeausführung in WindChill und FlexPLM


Die Software Windchill und FlexPLM enthält ein Sicherheitsleck, das Codeausführung erlaubt. Der Hersteller ruft dringend dazu auf, Sicherheitsmaßnahmen zu ergreifen – ein Patch ist zur Stunde noch nicht verfügbar.

Weiterlesen nach der Anzeige

Informationen zur Sicherheitslücke sind spärlich, weder eine CVE-Kennung noch Warnungen der nationalen CERTs (Computer Emergency Response Team) sind verfügbar. Der Hersteller und seine Partner scheinen jedoch beunruhigt: Sie vergeben die Höchstwertung von 10.0 Punkten auf der CVSS-Skala und drängen Kunden, umgehend zu reagieren.

Offenbar versteckt der Fehler sich in der Deserialisierung der Servlets /servlet/WindchillGW/com.ptc.wvs.server.publish.Publish und /servlet/WindchillAuthGW/com.ptc.wvs.server.publish.Publish. Sind diese für einen Angreifer zugänglich, etwa weil der Windchill-Server aus dem Internet erreichbar ist, kann er Code einschleusen und ausführen.

Viele Versionen betroffen

Die Lücke betrifft gemäß dem extrem knappen Sicherheitshinweis in der Knowledge Base des Herstellers PTC folgende Versionen:

  • Windchill PDMLink 11.0 M030
  • Windchill PDMLink 11.1 M020
  • Windchill PDMLink 11.2.1.0
  • Windchill PDMLink 12.0.2.0
  • Windchill PDMLink 13.0.2.0
  • Windchill PDMLink 13.1.0.0
  • Windchill PDMLink 13.1.1.0
  • Windchill PDMLink 13.1.2.0
  • Windchill PDMLink 13.1.3.0
  • Windchill PDMLink 12.1.2.0
  • FlexPLM 11.0 M030
  • FlexPLM 11.1 M020
  • FlexPLM 11.2.1.0
  • FlexPLM 12.0.0.0
  • FlexPLM 12.0.2.0
  • FlexPLM 12.0.3.0
  • FlexPLM 12.1.2.0
  • FlexPLM 12.1.3.0
  • FlexPLM 13.0.2.0
  • FlexPLM 13.0.3.0

Notlösung: Zugriff per Apache-Konfiguration einschränken

Weiterlesen nach der Anzeige

Bis ein Patch zur Verfügung steht, sollen Admins zu einer Notlösung greifen. Wie der Windchill-Dienstleister EAC in einer Aussendung an seine Kunden beschreibt, ist dazu eine Konfigurationsänderung des Apache-Webservers notwendig. Das, so EAC, sollte unverzüglich geschehen, um die Gefahr eines Exploits zu neutralisieren.

  1. Erstellen einer neuen Konfigurationsdatei /conf/conf.d/90-app-Windchill-Auth.conf. sofern bereits eine Datei mit dem Präfix 90- oder höher existiert, sollte die neue Datei die höchste Ziffer erhalten, um als letzte Datei geladen zu werden)
  2. In diesen folgende Direktiven einbauen:
    Require all denied
  3. Webserver mittels der bekannten Befehle neustarten.

Offenbar aktive Angriffe – Admins sollten die Augen offenhalten

Obgleich der Hersteller behauptet, keine Kenntnis über erfolgreiche Angriffe zu haben, nennt Dienstleister EAC einige „Indicators of Compromise“ (IOC). Es muss also bereits Angriffe gegen Windchill- oder FlexPLM-Server gegeben haben. Aus den IOCs ergibt sich, dass Angreifer nach erfolgreichem Exploit Dateien mit Schadcode auf den Server hochladen, typischerweise Webshells. Von PTC selbst betriebene Instanzen sind bereits geschützt.

Unsichere Deserialisierung ist ein bekanntes Einfallstor für Exploits und beliebt bei Cyberkriminellen und staatlichen Angreifern. Erst vor wenigen Tagen fügte die US-Cybersicherheitsbehörde eine weitere Deserialisierungslücke in Microsoft Sharepoint zu ihrer Datenbank der Known Exploited Vulnerabilities hinzu.


(cku)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen