إدراج ثغرة خطيرة في PTC Windchill ضمن قائمة KEV وسط هجمات مستمرة

أضافت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) يوم الخميس ثغرة حرجة في برمجيات PTC Windchill PDMlink وPTC FlexPLM إلى قائمة الثغرات المستغلة فعليًا (KEV) بعد تأكيد وجود هجمات نشطة تستغلها. هذه هي المرة الأولى التي يُدرج فيها منتج من PTC في القائمة، ما يعكس سرعة استغلال المهاجمين للثغرات الجديدة فور الإعلان عنها.

تفاصيل الثغرة

الثغرة تحمل الرقم CVE-2026-12569 بدرجة خطورة 9.3 وفقًا لمقياس CVSS، وتعود إلى مشكلة في التحقق من صحة المدخلات، تسمح بتنفيذ تعليمات برمجية عشوائية عبر deserialization لبيانات غير موثوقة. ورغم إصدار التصحيحات الأسبوع الماضي، أكدت الشركة في 25 يونيو استمرار النشاط الخبيث، حيث يقوم المهاجمون بزرع web shells مكتوبة بلغة JSP على الأنظمة المعرضة.

مؤشرات الاختراق

أصدرت PTC قائمة بمؤشرات الاختراق المرتبطة بالهجمات، أبرزها:

  • عناوين IP مثل: 172.111.38.31، 216.152.148.54، 104.243.35.131، 5.180.41.35 (عنوان تحكم وسيطرة).
  • ملفات JSP ضمن المسار ‎/Windchill/login/[0-9a-f]{16}.jsp‎.
  • ملف ‎flst.txt‎ في ‎/tmp‎ أو دليل عمل Windchill، ما يؤكد نشاط المهاجم في استعراض الملفات.
  • استخدام رأس HTTP باسم ‎X-windchill-req‎ في الطلبات الخبيثة.
إجراءات التخفيف

أوصت الشركة والمختصون باتباع الخطوات التالية:

  • حظر العنوان 5.180.41.35 على جدار الحماية.
  • مراجعة سجلات الوصول HTTP لرصد أي طلبات POST إلى ‎/Windchill/login/*.jsp‎.
  • فحص النظام بحثًا عن ملفات JSP المشبوهة ومطابقة تجزئتها مع القيمة المعروفة.
  • إضافة قواعد في WAF/IDS لحظر الطلبات التي تحتوي على الرأس ‎X-windchill-req‎.
  • تقليل تعرض نقطة تسجيل الدخول للإنترنت قدر الإمكان.
دلالات أمنية

إدراج هذه الثغرة في قائمة KEV يؤكد أن المهاجمين يستغلونها بشكل واسع لنشر web shells والسيطرة على الأنظمة المستهدفة. كما يعكس سرعة تطور الهجمات السيبرانية التي تستغل الثغرات فور الإعلان عنها، ما يفرض على المؤسسات ضرورة الإسراع في تطبيق التحديثات الأمنية وعدم الاكتفاء بالإجراءات المؤقتة.

محمد طاهر
محمد طاهر
المقالات: 1700

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.