Siemens Femap: heap overflow in file IPT apre a RCE
Patch Siemens Simcenter Femap: vulnerabilità heap overflow in file IPT malevoli consente esecuzione remota di codice su workstation ingegneria.
Contenuto
Il 14 maggio 2026 CISA ha ripubblicato l’advisory Siemens ProductCERT SSA-870926, confermando una vulnerabilità heap-based buffer overflow in Simcenter Femap attivabile aprendo un file in formato IPT malevolo: la falla consente esecuzione remota di codice nel contesto del processo Windows corrente. Segnalata da TrendAI Zero Day Initiative, la vulnerabilità colpisce la libreria Datakit e interessa il settore della Critical Manufacturing, dove l’apertura quotidiana di disegni CAD da parte di ingegneri e designer espone workstation ad alto valore. L’attacco richiede una sola interazione umana — l’utente indotto ad aprire il file — ed è proprio questa minima frizione, combinata con il transito indisturbato dei file IPT attraverso firewall e antivirus, a rendere la minaccia immediata per la proprietà intellettuale e la continuità operativa.
- La vulnerabilità è una heap-based buffer overflow nella libreria Datakit di Simcenter Femap, innescata dal parsing di file CAD in formato IPT (Autodesk Inventor).
- L’apertura di un file IPT malevolo consente a un attaccante di eseguire codice remotamente (RCE) nel contesto del processo corrente; il punteggio CVSS v3 è indicato come 7.8.
- Siemens ha rilasciato una nuova versione di Simcenter Femap e raccomanda l’aggiornamento; fonti editoriali specializzate indicano la patch come V2512.0003 e la vulnerabilità come CVE-2025-12659.
- Il settore della Critical Manufacturing è esposto a spear-phishing e compromissione della supply chain digitale, perché i file CAD circolano tra fornitori e team senza ispezione approfondita da parte degli strumenti di sicurezza tradizionali.
Heap overflow in Datakit: il parsing IPT come grilletto
La vulnerabilità risiede nella libreria Datakit, componente di terze parti integrata in Simcenter Femap per l’interoperabilità con formati CAD diversi. Secondo l’advisory CISA ICSA-26-134-05 — una ripubblicazione verbatim dell’avviso Siemens ProductCERT SSA-870926 — la falla si manifesta come heap-based buffer overflow durante la lettura di file in formato IPT, nativo di Autodesk Inventor.
La corruzione della memoria deriva dalla mancata validazione della lunghezza dei campi durante il parsing: il componente Datakit non verifica correttamente la dimensione di specifiche sezioni dati, permettendo la sovrascrittura di metadati heap e il dirottamento del flusso di esecuzione nel processo Windows di Femap. Come riportato da fonti specializzate, “When Femap processes a malformed IPT file, the Datakit library does not properly check the length of certain data sections.”
Tecnicamente, l’attacco non richiede un exploit remoto in rete: l’ingegnere deve solo aprire il file CAD malevolo. Questo sposta il pericolo dalla perimetrale alla workstation, rendendo il vettore particolarmente insidioso per ambienti dove i disegni provengono da fornitori esterni o archivi condivisi e vengono aperti rapidamente per rispettare cicli di progettazione stretti.
RCE nel contesto del processo corrente: cosa cambia per l’ingegneria
L’advisory è esplicito: se un utente viene indotto ad aprire un file malevolo, un attaccante può sfruttare la vulnerabilità per eseguire codice arbitrario nel contesto del processo corrente. Questo significa che il payload eredita i permessi e la visibilità di Simcenter Femap stesso, con accesso ai modelli FEM, ai materiali, alle mesh e — attraverso le librerie di accesso ai file di rete — potenzialmente a share aziendali e database PLM.
“Simcenter Femap is affected by heap based buffer overflow vulnerability in Datakit library that could be triggered when the application reads files in IPT format. If a user is tricked to open a malicious file with the affected application, an attacker could leverage the vulnerability to perform remote code execution in the context of the current process.” — CISA / Siemens ProductCERT
Con un punteggio CVSS v3 indicato come 7.8, la vulnerabilità è classificata High non per la complessità dell’exploit, ma per l’elevato impatto sulla confidenzialità, integrità e disponibilità dei sistemi di design.
La minaccia è tanto più seria quanto più le workstation di ingegneria godono di privilegi elevati o di accesso diretto alle risorse di produzione.
Il tallone d’Achille della supply chain digitale
La dimensione meno tecnica e più operativa di questa falla è il ruolo del file CAD nella supply chain moderna. I formati come IPT, STEP o Parasolid non vengono trattati dagli antivirus endpoint con la stessa cura riservata agli eseguibili o agli script: sono visti come dati puri. Di conseguenza, un allegato IPT apparentemente inviato da un fornitore o scaricato da un portale di collaborazione può attraversare gateway, firewall e sandbox aziendali senza sollevare allarmi.
Gli ingegneri sono abituati a ricevere centinaia di file al giorno, spesso via email o cloud sharing, e a scalarli rapidamente in assembly complessi. Questo flusso di lavoro, necessario per la competitività, crea una superficie d’attacco ideale per lo spear-phishing mirato: basta un oggetto credibile e un file ben confezionato per compromettere l’intera workstation, con rischi di furto di proprietà intellettuale, sabotaggio dei progetti o movimento laterale verso sistemi ERP e MES.
Aggiornamento e versione correttiva
La risposta di Siemens è arrivata con il rilascio di una nuova versione di Simcenter Femap, come raccomandato nell’advisory primario. “Siemens has released a new version for Simcenter Femap and recommends to update to the latest version.”
Sebbene il testo estratto della fonte vendor non elenchi esplicitamente l’identificativo CVE nel materiale verbatim analizzato, fonti editoriali specializzate indicano la vulnerabilità come CVE-2025-12659 e la versione correttiva come V2512.0003, risolvendo la falla per le build precedenti. In assenza di una seconda fonte primaria indipendente che corrobbari ogni dettaglio quantitativo, resta confermata l’indicazione generale del vendor: l’aggiornamento all’ultima versione disponibile è la contromisura definitiva.
Non risulta, dalle fonti disponibili, che siano state pubblicate mitigazioni temporanee alternative o workaround ufficiali per chi non può aggiornare immediatamente.
Cosa fare adesso
- Verificare e applicare l’aggiornamento rilasciato da Siemens per Simcenter Femap. Fonti di settore indicano la build V2512.0003 come correttiva per la vulnerabilità IPT, ma la raccomandazione primaria resta il download dalla fonte ufficiale vendor per confermare la versione più recente adatta al proprio ambiente.
- Ispezionare in sandbox o workstation isolate ogni file IPT in ingresso da fornitori, clienti o email esterne prima dell’apertura su workstation di produzione ingegneristica. Il formato CAD deve essere trattato con la stessa diffidenza riservata agli eseguibili finché non se ne verifica la provenienza.
- Eseguire Simcenter Femap con account Windows a privilegi ridotti, evitando l’uso di profili amministrativi per le attività di design. Un RCE nel contesto del processo corrente con privilegi limitati riduce drasticamente la capacità dell’attaccante di installare persistence o muoversi lateralmente nella rete.
- Segregare le workstation di ingegneria in segmenti di rete dedicati, con accesso controllato ai soli server PLM, file storage e risorse strettamente necessarie. Isolare il traffico CAD dal resto della rete aziendale generale limita la propagazione in caso di compromissione tramite file IPT malevolo.
La vulnerabilità in Simcenter Femap non è un’anomalia isolata, ma il sintomo di un problema strutturale: le workstation di ingegneria gestiscono dati ad alto valore economico e strategico, ma vengono spesso difese con logiche di sicurezza pensate per uffici generici. Finché i file CAD continueranno a transitare indisturbati tra fornitori, clienti e team interni come allegati apparentemente innocui, il formato IPT e i suoi simili rimarranno un vettore privilegiato per compromettere l’anello più debole della supply chain digitale.
La patch di Siemens è disponibile, ma la vera metrica di sicurezza sarà la velocità con cui i reparti IT dei contesti manufacturing riusciranno a distribuirla su workstation spesso isolate o gestite con cicli di aggiornamento lenti.
Domande e risposte
La vulnerabilità interessa anche chi non usa file IPT ma lavora solo con modelli nativi Femap?
No. Le fonti disponibili indicano che la falla si attiva specificamente durante il parsing di file in formato IPT tramite la libreria Datakit. Chi non importa tale formato nell’ambiente di lavoro non è esposto a questo specifico vettore, anche se resta fondamentale mantenere il software aggiornato.
Perché il punteggio CVSS 7.8 è considerato alto se l’attacco richiede che l’utente apra un file?
Perché l’interazione richiesta è minima e plausibile in contesti ingegneristici reali, dove l’apertura di allegati CAD è routine. Inoltre, l’esecuzione nel contesto del processo corrente garantisce all’attaccante accesso immediato ai dati di progettazione e alle risorse di rete visibili da quella workstation, con impatto elevato su confidenzialità e integrità.
Esistono indicatori di compromesso (IoC) noti per file IPT malevoli sfruttanti questa falla?
Al momento della pubblicazione, nessuna delle fonti analizzate riporta IoC specifici, esempi di hash o evidence di exploitation attiva in-the-wild. L’assenza di questi dettagli rende ancora più importante la prevenzione basata su aggiornamento, segregazione e verifica della provenienza dei file.
Fonti
- https://www.cisa.gov/news-events/ics-advisories/icsa-26-134-05
- https://www.cisa.gov/news-events/ics-advisories/icsa-26-048-01
- https://windowsnews.ai/article/siemens-simcenter-femap-cve-2025-12659-critical-heap-overflow-fix-for-ipt-files.418275
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.