สรุปสั้น

หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ระดับร้ายแรงในซอฟต์แวร์ PTC Windchill PDMLink และ PTC FlexPLM ซึ่งเป็นระบบบริหารจัดการข้อมูลผลิตภัณฑ์ (PDM) และวงจรชีวิตผลิตภัณฑ์ (PLM) ระดับองค์กร ลงในแคตตาล็อกช่องโหว่ที่ถูกใช้โจมตีจริง (Known Exploited Vulnerabilities หรือ KEV) เมื่อวันพฤหัสบดีที่ผ่านมา โดยอ้างหลักฐานว่ามีการโจมตีเกิดขึ้นแล้วจริง ช่องโหว่ดังกล่าวคือ CVE-2026-12569 ซึ่งมีคะแนนความรุนแรง CVSS สูงถึง 9.3 เป็นช่องโหว่ประเภทตรวจสอบข้อมูลนำเข้าไม่รัดกุม (improper input validation) ที่เปิดทางให้ผู้โจมตีรันโค้ดอันตรายจากระยะไกลได้ด้วยการส่งคำขอที่ถูกดัดแปลงเข้าไปยังระบบ แม้ว่าบริษัท PTC จะออกแพตช์แก้ไขไปแล้วเมื่อสัปดาห์ก่อน แต่ล่าสุดเมื่อวันที่ 25 มิถุนายน บริษัทได้ยืนยันว่ายังคงได้รับรายงานกิจกรรมภัยคุกคามที่เพิ่มสูงขึ้นอย่างต่อเนื่อง โดยพบว่ามีผู้โจมตีนิรนามใช้ช่องโหว่นี้ฝัง JSP web shell ลงในระบบที่มีช่องโหว่ นับเป็นครั้งแรกที่ช่องโหว่ในผลิตภัณฑ์ของ PTC ถูกเพิ่มลงในแคตตาล็อก KEV และสะท้อนให้เห็นว่าแฮ็กเกอร์สามารถนำช่องโหว่ที่เพิ่งเปิดเผยมาใช้เป็นอาวุธโจมตีได้อย่างรวดเร็ว

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 26 มิถุนายน พ.ศ. 2569 ว่า CISA ได้เพิ่มช่องโหว่ CVE-2026-12569 ลงในแคตตาล็อก KEV โดยให้เหตุผลว่ามีหลักฐานการถูกนำไปใช้โจมตีจริงอย่างต่อเนื่อง ช่องโหว่นี้กระทบกับ PTC Windchill PDMLink และ PTC FlexPLM ซึ่งเป็นแพลตฟอร์มที่องค์กรอุตสาหกรรมการผลิตจำนวนมากใช้บริหารจัดการข้อมูลทางวิศวกรรมและวงจรชีวิตของผลิตภัณฑ์ ตามคำแนะนำที่บริษัท PTC เผยแพร่ออกมา ช่องโหว่นี้เป็นปัญหารันโค้ดจากระยะไกล (RCE) ที่อาจถูกโจมตีผ่านการ deserialize ข้อมูลที่ไม่น่าเชื่อถือ (deserialization of untrusted data)

แม้ว่าแพตช์สำหรับช่องโหว่นี้จะถูกปล่อยออกมาตั้งแต่สัปดาห์ก่อน แต่บริษัท PTC ก็ออกมายืนยันในเวลาต่อมา ณ วันที่ 25 มิถุนายน ว่าได้รับรายงานกิจกรรมภัยคุกคามที่เพิ่มสูงขึ้นอย่างต่อเนื่อง โดยเปิดเผยว่าผู้โจมตีที่ยังไม่ทราบตัวตนกำลังใช้ช่องโหว่นี้เพื่อติดตั้ง JSP web shell ลงในระบบเป้าหมาย web shell ดังกล่าวจะถูกตั้งชื่อตามรูปแบบ /Windchill/login/[0-9a-f]{16}.jsp ซึ่งเป็นชื่อไฟล์ที่ประกอบด้วยอักขระเลขฐานสิบหก 16 ตัว การที่ช่องโหว่นี้ถูกเพิ่มลง KEV ทำให้กลายเป็นช่องโหว่แรกของผลิตภัณฑ์ PTC ที่เคยถูกบรรจุลงในแคตตาล็อกดังกล่าว และตอกย้ำให้เห็นว่าผู้ไม่หวังดีกำลังเร่งนำช่องโหว่ที่เพิ่งถูกเปิดเผยมาแปลงเป็นอาวุธโจมตีอย่างรวดเร็ว

รายละเอียดช่องโหว่

CVE-2026-12569 มีต้นเหตุมาจากการ deserialize ข้อมูลที่ไม่ผ่านการตรวจสอบความน่าเชื่อถือ ซึ่งเป็นรูปแบบช่องโหว่ที่อันตรายมาก เพราะเมื่อแอปพลิเคชันแปลงข้อมูลที่ผู้โจมตีควบคุมได้กลับเป็นออบเจ็กต์ ผู้โจมตีสามารถยัดเยียดออบเจ็กต์ที่ออกแบบมาเป็นพิเศษเพื่อให้เกิดการรันโค้ดตามอำเภอใจบนเซิร์ฟเวอร์ได้ ด้วยคะแนน CVSS 9.3 และความสามารถในการโจมตีจากระยะไกลผ่านเครือข่ายโดยไม่ต้องยืนยันตัวตน ทำให้ช่องโหว่นี้เป็นเป้าหมายที่น่าสนใจอย่างยิ่งสำหรับผู้โจมตี เมื่อโจมตีสำเร็จ ผู้โจมตีจะฝัง JSP web shell ลงในเซิร์ฟเวอร์ เพื่อใช้เป็นช่องทางเข้าควบคุมระบบ รันคำสั่ง และเคลื่อนตัวภายในเครือข่ายต่อไป

บริษัท PTC ได้เผยแพร่ตัวบ่งชี้การถูกโจมตี (Indicators of Compromise) ที่เกี่ยวข้องกับกิจกรรมนี้ออกมา รวมถึงหมายเลข IP ที่ใช้เป็นเซิร์ฟเวอร์สั่งการและควบคุม (C2) คือ 5.180.41.35 ค่าแฮชของไฟล์ web shell ที่น่าสงสัย และไฟล์ flst.txt ที่หากพบใน /tmp หรือไดเรกทอรีทำงานของ Windchill จะเป็นการยืนยันว่าผู้โจมตีได้ทำการสำรวจรายชื่อไฟล์ในระบบไปแล้ว

ผลกระทบต่อไทย

PTC Windchill และ FlexPLM เป็นซอฟต์แวร์ PLM/PDM ที่ถูกใช้อย่างแพร่หลายในกลุ่มอุตสาหกรรมการผลิต ยานยนต์ อิเล็กทรอนิกส์ และการผลิตชิ้นส่วนทางวิศวกรรม ซึ่งประเทศไทยมีฐานการผลิตขนาดใหญ่ในอุตสาหกรรมเหล่านี้ องค์กรไทยที่ใช้ Windchill จัดการข้อมูลการออกแบบและทรัพย์สินทางปัญญาจึงมีความเสี่ยงโดยตรง หากถูกฝัง web shell ผู้โจมตีอาจขโมยแบบทางวิศวกรรม ซอร์สโค้ด และความลับทางการค้า รวมถึงใช้เป็นจุดตั้งต้นเจาะลึกเข้าเครือข่ายภายในได้ องค์กรที่เปิดให้เข้าถึงระบบ Windchill จากอินเทอร์เน็ตควรเร่งตรวจสอบและอุดช่องโหว่โดยด่วน

คำแนะนำ

ผู้ดูแลระบบควรดำเนินการตามมาตรการบรรเทาที่บริษัท PTC แนะนำทันที ได้แก่ บล็อก IP 5.180.41.35 ที่ไฟร์วอลล์ขอบเครือข่ายโดยทันที, ค้นหา HTTP access log หาคำขอแบบ POST ที่ส่งไปยัง /Windchill/login/*.jsp, สแกนระบบไฟล์หาไฟล์ JSP ที่ตรงกับรูปแบบชื่อ 16 อักขระเลขฐานสิบหก /Windchill/login/[0-9a-f]{16}.jsp, ตรวจสอบค่าแฮชของไฟล์ JSP น่าสงสัยเทียบกับ IoC ที่ PTC ให้มา, ตรวจหาไฟล์ flst.txt ใน /tmp หรือไดเรกทอรีทำงานของ Windchill, เพิ่มกฎ WAF/IDS บล็อกคำขอที่มี header X-windchill-req:, และจำกัดการเปิดเผยปลายทาง login ของ Windchill ต่ออินเทอร์เน็ตเท่าที่ทำได้ พร้อมทั้งติดตั้งแพตช์ล่าสุดจาก PTC โดยเร็วที่สุด

Indicators of Compromise (IoCs)

หมายเหตุ: IP ด้านล่างเป็นค่าจากคำแนะนำของบริษัท PTC

Indicatorประเภทคำอธิบาย
5.180.41.35IPv4เซิร์ฟเวอร์สั่งการและควบคุม (C2) ของผู้โจมตี — บล็อกทันที
172.111.38.31IPv4IP ที่เกี่ยวข้องกับกิจกรรมโจมตี
216.152.148.54IPv4IP ที่เกี่ยวข้องกับกิจกรรมโจมตี
104.243.35.131IPv4IP ที่เกี่ยวข้องกับกิจกรรมโจมตี
74.50.76.146IPv4IP ที่เกี่ยวข้องกับกิจกรรมโจมตี
/Windchill/login/[0-9a-f]{16}.jspไฟล์รูปแบบชื่อไฟล์ JSP web shell ที่ถูกฝัง
55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30cSHA-256ค่าแฮชไฟล์ web shell น่าสงสัย
flst.txtไฟล์ไฟล์ที่บ่งชี้ว่าผู้โจมตีทำ file-listing (พบใน /tmp หรือ Windchill working dir)

แหล่งอ้างอิง