CISA cảnh báo lỗ hổng RCE nghiêm trọng trên PTC Windchill đang bị khai thác

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa chính thức bổ sung lỗ hổng bảo mật nghiêm trọng trên phần mềm quản lý dữ liệu sản phẩm (PDM) và quản lý vòng đời sản phẩm (PLM) của PTC vào danh mục Known Exploited Vulnerabilities (KEV). Động thái này diễn ra trong bối cảnh các bằng chứng về việc lỗ hổng đang bị khai thác tích cực trong thực tế ngày càng rõ ràng.

Lỗ hổng được định danh là CVE-2026-12569 (điểm CVSS 9.3), xuất phát từ lỗi xác thực đầu vào không đúng cách. Theo PTC, đây là vấn đề Remote Code Execution (RCE) có thể bị khai thác thông qua quá trình giải tuần tự hóa (deserialization) dữ liệu không tin cậy, cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống mục tiêu.

Mặc dù các bản patch đã được phát hành vào tuần trước, PTC xác nhận rằng từ ngày 25/6, họ vẫn liên tục nhận được báo cáo về các hoạt động đe dọa gia tăng. Kẻ tấn công đang lợi dụng lỗ hổng này để triển khai các JSP web shell nhằm chiếm quyền kiểm soát hệ thống.

Khuyến nghị phòng thủ và chỉ số xâm nhập (IoCs)

Để bảo vệ hệ thống, người dùng cần thực hiện ngay các biện pháp giảm thiểu rủi ro sau:

• Chặn ngay lập tức địa chỉ IP 5.180.41.35 tại tường lửa biên.
• Kiểm tra nhật ký truy cập HTTP (HTTP access logs) để tìm các yêu cầu POST bất thường tới đường dẫn /Windchill/login/*.jsp.
• Quét hệ thống để tìm các tệp tin JSP có định dạng tên /Windchill/login/[0-9a-f]{16}.jsp.
• Kiểm tra sự tồn tại của tệp flst.txt trong thư mục /tmp hoặc thư mục làm việc của Windchill, đây là dấu hiệu cho thấy kẻ tấn công đang liệt kê tệp tin.
• Cấu hình quy tắc WAF/IDS để chặn mọi yêu cầu chứa header X-windchill-req:.
• Hạn chế tối đa việc phơi bày endpoint đăng nhập của Windchill ra internet nếu không thực sự cần thiết.

Đây là lần đầu tiên một lỗ hổng trong sản phẩm của PTC xuất hiện trong danh mục KEV của CISA, nhấn mạnh tốc độ mà các tác nhân đe dọa đang tận dụng các lỗ hổng mới được công bố để thực hiện các cuộc tấn công mạng.

Nguồn tham khảo: The Hacker News