ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ พบรายงานการโจมตีช่องโหว่ระดับ Critical หมายเลข CVE-2026-12569 (CVSS v3.1: 9.8) ในผลิตภัณฑ์ PTC Windchill และ PTC FlexPLM ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่ผู้โจมตีสามารถสั่งรันโค้ดอันตรายบนระบบได้โดยไม่ต้องยืนยันตัวตน [1] โดยขณะนี้ CISA ได้เพิ่มช่องโหว่นี้ลงในรายการ Known Exploited Vulnerabilities (KEV) เนื่องจากมีรายงานการพบผู้ไม่หวังดีใช้ช่องโหว่นี้ทำการโจมตีจริงแล้ว เพื่อติดตั้ง JSP Web Shell สำหรับเข้าควบคุมระบบอย่างต่อเนื่องและขโมยข้อมูลสำคัญภายในหน่วยงาน
1. รายละเอียดช่องโหว่
1.1 CVE-2026-12569 (CVSS v3.1: 9.8) [2] เป็นช่องโหว่ระดับ Critical ในผลิตภัณฑ์ PTC Windchill และ PTC FlexPLM มีสาเหตุเกี่ยวข้องกับการตรวจสอบข้อมูลนำเข้าไม่เหมาะสม และการประมวลผลข้อมูลที่ไม่น่าเชื่อถือ ซึ่งอาจทำให้ผู้โจมตีส่งคำขอที่ถูกสร้างขึ้นเป็นพิเศษมายังระบบ เพื่อสั่งรันโค้ดอันตรายบนเซิร์ฟเวอร์ได้
1.2 ช่องโหว่นี้มีความรุนแรงสูง เนื่องจากสามารถถูกโจมตีได้ โดยไม่จำเป็นต้องมีบัญชีผู้ใช้งานในระบบ หากโจมตีสำเร็จ ผู้โจมตีอาจควบคุมระบบในระดับแอปพลิเคชัน เข้าถึงไฟล์ภายในระบบ ติดตั้ง Web Shell หรือใช้ระบบที่ถูกเจาะเป็นฐานในการโจมตีต่อเนื่องไปยังระบบอื่นภายในหน่วยงาน
1.3 CISA ได้เพิ่มช่องโหว่ลงใน Known Exploited Vulnerabilities (KEV) โดยมีรายงานว่าผู้โจมตีใช้ช่องโหว่นี้เพื่อวางไฟล์ JSP Web Shell บนระบบ PTC Windchill/FlexPLM ที่มีช่องโหว่ เพื่อใช้เป็นช่องทางควบคุมระบบ โดยอยู่ในระบบอย่างต่อเนื่อง และอาจนำไปสู่การขโมยข้อมูลสำคัญของหน่วยงาน
2. ผลกระทบที่อาจเกิดขึ้น [3]
2.1 ผู้โจมตีอาจสั่งรันโค้ดหรือคำสั่งอันตรายบนเซิร์ฟเวอร์ PTC Windchill/FlexPLM ได้
2.2 ระบบอาจถูกฝัง JSP Web Shell เพื่อใช้เป็นช่องทางควบคุมระบบอย่างต่อเนื่อง
2.3 อาจถูกเข้าถึงหรือขโมยข้อมูลสำคัญออกจากระบบ เช่น ข้อมูลแบบผลิตภัณฑ์ เอกสารวิศวกรรม ข้อมูลการผลิต ข้อมูลห่วงโซ่อุปทาน และข้อมูลภายในระบบ PLM/PDM
2.4 ผู้โจมตีอาจใช้ระบบที่ถูกเจาะเป็นจุดเริ่มต้นในการเคลื่อนย้ายภายในเครือข่าย หรือโจมตีระบบอื่นของหน่วยงานต่อไป
3. แนวทางการป้องกันและลดความเสี่ยง [4]
3.1 ผู้ดูแลระบบควรตรวจสอบว่ามีการใช้งาน PTC Windchill, Windchill PDMlink หรือ PTC FlexPLM ภายในหน่วยงานหรือไม่ โดยเฉพาะระบบที่เปิดให้เข้าถึงจากอินเทอร์เน็ต
3.2 ติดตั้งแพตช์หรือดำเนินการตามมาตรการลดความเสี่ยงที่ PTC แนะนำโดยเร็วที่สุด และตรวจสอบเวอร์ชันที่ได้รับผลกระทบจากประกาศของผู้ผลิตโดยตรง
3.3 จำกัดการเข้าถึงหน้า Login หรือ Endpoint ของ Windchill จากอินเทอร์เน็ต หากไม่มีความจำเป็นทางธุรกิจ และควรกำหนดให้เข้าถึงผ่าน VPN, Zero Trust Access หรือช่องทางที่มีการควบคุมสิทธิ์
3.4 ตรวจสอบ HTTP Access Log เพื่อค้นหาคำขอแบบ POST ไปยังเส้นทาง /Windchill/login/*.jsp หรือไฟล์ JSP ที่มีชื่อเป็นอักขระฐานสิบหก 16 ตัว
3.5 ตรวจสอบไฟล์ในระบบ โดยเฉพาะไดเรกทอรี …/Windchill/codebase/login/ ว่ามีไฟล์ .jsp ที่ผิดปกติหรือไม่
3.6 ตรวจสอบการมีอยู่ของไฟล์ flst.txt ใน /tmp หรือ Windchill working directory เนื่องจากอาจชี้ถึงกิจกรรมการสำรวจหรือจัดทำรายการไฟล์โดยผู้โจมตี
3.7 เพิ่มกฎ WAF/IDS/IPS เพื่อตรวจจับหรือบล็อกคำขอที่มี Header: X-windchill-req: และเฝ้าระวังการตอบกลับขนาดใหญ่ผิดปกติจากไฟล์ .jsp ในระบบ Windchill
3.8 หากพบหลักฐานการถูกโจมตี เช่น Web Shell, IOC หรือ Log ผิดปกติ ให้แยกระบบออกจากเครือข่าย ดำเนินการ Incident Response ตรวจสอบขอบเขตผลกระทบ เก็บพยานหลักฐาน และเปลี่ยนรหัสผ่านหรือ Credential ที่เกี่ยวข้องทั้งหมด
3.9 ตรวจสอบระบบที่เชื่อมต่อกับ PTC Windchill/FlexPLM เช่น ระบบยืนยันตัวตน ฐานข้อมูล ไฟล์เซิร์ฟเวอร์ ระบบจัดการเอกสาร และระบบภายในอื่น ๆ เพื่อประเมินว่ามีการเคลื่อนย้ายภายในเครือข่ายหรือขโมยข้อมูลเพิ่มเติมหรือไม่
แหล่งอ้างอิง
[1] https://dg.th/6v5mudtxc3
[2] https://dg.th/e8qgfk2t5h
[3] https://dg.th/fiazq8o7u1
[4] https://dg.th/ah51xb2ks4