RCE in Siemens Femap: disclosure coordinata prevista a maggio 2026

ZDI-26-317: vulnerabilità RCE nel parsing IPT di Simcenter Femap. Segnalata ad agosto 2025, la pubblicazione coordinata dell'advisory è prevista per maggio 2026

Contenuto

RCE in Siemens Femap: disclosure coordinata prevista a maggio 2026
RCE in Siemens Femap: disclosure coordinata prevista a maggio 2026

Una vulnerabilità di esecuzione remota di codice nel parser di file IPT di Siemens Simcenter Femap espone gli utenti a un intervallo di nove mesi alla pubblicazione coordinata dell'advisory. L'avviso ZDI-26-317, con disclosure fissata per il 12 maggio 2026 e relativo a una segnalazione dell'agosto 2025, assegna al difetto un punteggio CVSS di 7.8 con impatto alto su confidenzialità, integrità e disponibilità.

Per le aziende di ingegneria che usano Femap per la simulazione strutturale, la situazione impone un controllo immediato delle policy sui file in ingresso. L'unica barriera attuale resta l'utente che apre il documento, poiché né la disponibilità né la data di un aggiornamento ufficiale Siemens sono verificabili nel canale pubblico al momento.

Punti chiave
  • Il difetto risiede nel parsing dei file IPT di Simcenter Femap e genera memory corruption per mancata validazione dei dati utente
  • Il vettore d'attacco richiede interazione umana: apertura di un file malevolo o visita a una pagina che lo distribuisca
  • La disclosure coordinata copre il periodo 12 agosto 2025 – 12 maggio 2026, senza CVE o aggiornamento noto nel periodo intermedio
  • Il CVSS 7.8 con vettore AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H indica attacco locale ma impatto massiccio una volta innescato

Il meccanismo: come la memory corruption nel parser IPT apre il processo

L'analisi dell'advisory ZDI identifica con precisione il punto di rottura. Il parser di Simcenter Femap non valida correttamente i dati forniti dall'utente durante l'elaborazione di un file IPT. La mancata validazione genera una condizione di memory corruption che un attaccante può innescare con un file appositamente confezionato.

"The specific flaw exists within the parsing of IPT files. The issue results from the lack of proper validation of user-supplied data, which can result in a memory corruption condition." — Zero Day Initiative, ZDI-26-317

La conseguenza immediata è l'esecuzione di codice arbitrario nel contesto del processo corrente di Femap. Non è necessario che l'attaccante disponga di privilegi preesistenti sul sistema: il vettore CVSS indica PR:N (Privileges Required: None). L'elemento che frena l'automatizzazione è l'interazione utente, codificata come UI:R (User Interaction: Required).

Il percorso di attacco non è quindi un worm autonomo, bensì un vettore di ingegneria sociale. Un allegato di posta, un file scaricato da un portale di componenti o un modello condiviso su repository aziendale compromesso possono veicolare il payload senza ulteriori interazioni di rete.

Nove mesi di finestra: la timeline che allunga il rischio

La timeline di disclosure rivela un intervallo che, pur rispettando le pratiche di coordinated disclosure, lascia gli utenti in una condizione di esposizione prolungata. Rocco Calvi, ricercatore noto come @TecR0c e affiliato a TecSecurity, ha segnalato il difetto a Siemens il 12 agosto 2025. La pubblicazione coordinata dell'advisory ZDI è prevista per il 12 maggio 2026.

Tra queste due date non esiste, nel materiale reso pubblico, un identificativo CVE assegnato né un riferimento a un aggiornamento disponibile anticipatamente. Il vendor patch URL indicato nell'advisory rimanda alla pagina ZDI stessa, suggerendo che il collegamento al fix ufficiale Siemens non era attivo al momento della redazione del documento. Questo non implica che Siemens non stia lavorando alla correzione, ma certifica che il canale pubblico non ne offre traccia verificabile.

Per le organizzazioni che operano sotto requisiti di compliance o gestione del rischio, la mancanza di un CVE rende più complessa la tracciabilità nel sistema di ticketing interno e nei report di vulnerability management.

Il vettore CVSS: perché "locale" non significa "irrilevante"

La lettura del vettore CVSS richiede attenzione. AV:L (Attack Vector: Local) potrebbe indurre a sottovalutare la minaccia, associandola a un attaccante già fisicamente presente sulla macchina. La definizione CVSS v3.1 classifica però come "local" qualsiasi attacco che non attraversi la rete, incluso il caso in cui l'utente stesso trasporti il payload nel sistema scaricando un file. L'assenza di requisito di privilegi (PR:N) e la facilità di condizioni di attacco (AC:L) elevano la severità effettiva.

L'impatto si dispiega sui tre assi: C:H (Confidentiality), I:H (Integrity), A:H (Availability). Un exploit riuscito compromette integralmente il processo Femap, con potenziale accesso ai dati di simulazione in memoria, possibile alterazione dei modelli strutturali e instabilità del sistema. In ambienti dove Femap è integrato in pipeline di simulazione collegate a dati di produzione, il processo compromesso potrebbe diventare un trampolino verso risorse aziendali più sensibili, anche se l'advisory non tratta questa catena come verificata.

Cosa fare adesso

La gestione del rischio in assenza di aggiornamento disponibile richiede contromisure di tipo procedurale e tecnico, con priorità decrescente:

1. Bloccare o scansionare gli IPT in ingresso. Il vettore d'attacco è il file IPT non attendibile. Le policy di sicurezza dovrebbero ora trattare questo formato con la stessa cautela riservata agli eseguibili o alle macro Office: sandboxing, scansione antivirus con euristiche aggiornate e verifica della provenienza prima dell'apertura. Se l'organizzazione usa gateway email, l'estensione .ipt va inserita nella lista dei formati ad alto rischio.

2. Isolare le workstation Femap dalla rete produttiva. Dove possibile, le macchine che eseguono Simcenter Femap non dovrebbero avere connettività diretta con i sistemi ERP, MES o i repository di dati sensibili. L'esecuzione di codice nel contesto del processo locale, su una macchina isolata, riduce la superficie di propagazione.

3. Monitorare l'apertura di processi figli da Femap. Le soluzioni EDR possono configurare regole di rilevamento anomalo: un processo Femap.exe che genera shell, connessioni di rete o operazioni di file system sospette è indicatore di potenziale exploit. La baseline comportamentale va definita prima della distribuzione di un eventuale aggiornamento, per ridurre i falsi positivi dopo.

4. Verificare il canale ufficiale Siemens per eventuali aggiornamenti. La data di disclosure coordinata è il 12 maggio 2026, ma l'advisory non garantisce né l'esistenza né la tempistica di un fix. Il team IT deve attivare il monitoraggio sul portale di supporto ufficiale, senza assumere la disponibilità di una patch in quella finestra. Le organizzazioni dovrebbero preparare un piano di test e deploy da attivare solo dopo la verifica effettiva del rilascio.

La lezione della disclosure estesa: quando la coordinazione lascia scoperti

Il caso ZDI-26-317 mette in luce un limite strutturale delle pratiche di disclosure coordinata. Il protocollo standard — segnalazione privata, periodo di embargo per la correzione, pubblicazione simultanea di advisory e aggiornamento — funziona quando il vendor rilascia il fix entro tempi ragionevoli. Quando l'intervallo supera i sei mesi, e ancor più quando si avvicina all'anno, l'equilibrio tra protezione della proprietà intellettuale del vendor e protezione dell'utente finale si sposta in modo problematico.

Un intervallo di nove mesi potrebbe riflettere la complessità del codice legacy nel parser geometrico o criteri interni di qualificazione del fix. Per l'utente, la differenza è irrilevante: il rischio è presente e gestibile solo attraverso contromesse manuali. La mancanza di un CVE, in questo scenario, aggiunge un velo di invisibilità burocratica: i tool di vulnerability management che si alimentano di feed CVE non segnaleranno il difetto, spingendo le organizzazioni a dipendere esclusivamente da fonti qualificate come ZDI o da intelligence interna.

Il ricercatore Rocco Calvi ha consegnato alla comunità un dato tecnicamente solido. La responsabilità della gestione del rischio nel periodo di esposizione resta distribuita tra vendor, che controlla il codice, e utente, che controlla il doppio clic.

Domande frequenti

Posso continuare a usare Femap per i progetti in corso?

Sì, ma con cautela attiva. La vulnerabilità si innesca solo con file IPT appositamente malformati. Se il flusso di lavoro usa file generati internamente o da fonti verificate, il rischio è contenuto. La minaccia cresce con l'apertura di modelli da clienti, fornitori o repository pubblici senza pre-screening.

Perché il CVSS indica "attacco locale" se si parla di RCE?

Perché nel modello CVSS v3.x "locale" descrive il percorso del payload, non la posizione dell'attaccante. Il file IPT deve giungere sulla macchina, tipicamente tramite azione dell'utente (scaricamento, email, chiave USB). Una volta sul sistema, l'exploit si attiva localmente nel processo Femap senza necessità di ulteriore interazione di rete.

Cosa cambierà con la pubblicazione coordinata del 12 maggio 2026?

ZDI ha fissato quella data per il rilascio coordinato dell'advisory pubblico. Non è garantito che un CVE venga assegnato proprio quel giorno, né che Siemens rilasci contestualmente un aggiornamento. La disponibilità e la data di una patch ufficiale non sono infatti verificabili nel canale pubblico. Le organizzazioni dovrebbero preparare un piano di verifica senza assumere la disponibilità immediata di un fix.

Le informazioni sono basate sull'advisory citata e aggiornate al momento della pubblicazione.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews