25 июня 2026 года CISA внесла уязвимость CVE-2026-12569 (CVSS 9.3) в каталог Known Exploited Vulnerabilities, подтвердив факт активной эксплуатации. Уязвимость затрагивает корпоративные платформы управления данными о продуктах — PTC Windchill PDMlink и PTC FlexPLM, широко используемые в производственном секторе, аэрокосмической и оборонной промышленности. Злоумышленники уже разворачивают JSP-веб-шеллы на уязвимых системах. Организациям, использующим эти продукты, необходимо немедленно применить патчи и провести проверку на компрометацию.
Техническая суть уязвимости
Согласно бюллетеню PTC, CVE-2026-12569 представляет собой уязвимость удалённого выполнения кода (RCE), вызванную некорректной валидацией входных данных. Корневая причина — десериализация недоверенных данных: атакующий может отправить специально сформированный сетевой запрос, который приведёт к выполнению произвольного кода на сервере.
По данным записи CVE, уязвимости присвоена оценка CVSS 9.3, что соответствует критическому уровню серьёзности. Эксплуатация не требует аутентификации и осуществляется через сеть, что делает любую доступную из интернета инсталляцию Windchill потенциальной целью.
Патчи были выпущены PTC до 25 июня, однако компания подтвердила, что продолжает получать сообщения о «повышенной активности угроз». Неизвестные злоумышленники эксплуатируют уязвимость для развёртывания JSP-веб-шеллов — серверных бэкдоров, обеспечивающих постоянный доступ к скомпрометированной системе.
Наблюдаемая кампания и индикаторы компрометации
PTC опубликовала детальный набор индикаторов компрометации (IOC), связанных с текущей кампанией. Веб-шеллы размещаются по пути /Windchill/login/ и имеют имена, состоящие из 16 шестнадцатеричных символов с расширением .jsp (паттерн: /Windchill/login/[0-9a-f]{16}.jsp).
IP-адреса атакующей инфраструктуры:
- 172.111.38.31
- 216.152.148.54
- 104.243.35.131
- 74.50.76.146
- 5.180.41.35 — идентифицирован PTC как адрес командного сервера (C2)
Дополнительные артефакты:
- SHA-256 хеш веб-шелла:
55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c - Файл
flst.txtв каталоге/tmpили рабочей директории Windchill — индикатор разведывательной активности атакующего (листинг файловой системы) - Нестандартный HTTP-заголовок
X-windchill-req:, используемый в атакующих запросах
Характер атаки — десериализация с последующим развёртыванием веб-шелла и подключением к C2 — указывает на методичный подход, нацеленный на закрепление в инфраструктуре жертвы. Использование файла листинга (flst.txt) свидетельствует о том, что после первоначального доступа атакующие проводят разведку содержимого сервера, вероятно, для идентификации ценных данных или дальнейшего продвижения по сети.
Оценка воздействия
PTC Windchill — одна из ведущих PLM-платформ, используемая крупными производственными предприятиями для управления жизненным циклом продуктов, включая конструкторскую документацию, спецификации материалов (BOM) и данные о цепочках поставок. FlexPLM применяется в индустрии моды и розничной торговли для управления разработкой продуктов.
Компрометация PLM-системы потенциально открывает доступ к:
- Интеллектуальной собственности — чертежам, 3D-моделям, технологическим процессам
- Данным цепочки поставок и информации о поставщиках
- Внутренней сети предприятия через горизонтальное перемещение от скомпрометированного сервера
Скорость, с которой злоумышленники начали эксплуатировать CVE-2026-12569 — в течение дней после публикации патча — подчёркивает критичность оперативного обновления. Окно между раскрытием уязвимости и началом массовой эксплуатации продолжает сокращаться.
Рекомендации по реагированию
PTC и CISA рекомендуют следующие немедленные действия:
Приоритет 1: Блокировка и патч
- Немедленно заблокировать IP-адрес C2-сервера 5.180.41.35 на периметровом межсетевом экране
- Заблокировать остальные опубликованные IP-адреса атакующей инфраструктуры
- Применить патч от PTC в соответствии с официальному бюллетеню
- Ограничить доступ к эндпоинту Windchill login из интернета, где это операционно допустимо
Приоритет 2: Обнаружение компрометации
- Проверить HTTP-логи на наличие POST-запросов к
/Windchill/login/*.jsp - Выполнить поиск JSP-файлов по паттерну
/Windchill/login/[0-9a-f]{16}.jspв файловой системе - Сверить хеши обнаруженных JSP-файлов с опубликованным SHA-256:
55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c - Проверить наличие файла
flst.txtв/tmpи рабочей директории Windchill — его присутствие подтверждает активность атакующего
Приоритет 3: Превентивная защита
- Добавить правило WAF/IDS для блокировки запросов, содержащих заголовок
X-windchill-req: - Настроить мониторинг сетевых соединений к опубликованным IP-адресам
Организациям, обнаружившим признаки компрометации, следует рассматривать инцидент как полноценное проникновение: изолировать затронутые серверы, провести криминалистический анализ и оценить масштаб доступа атакующих к данным PLM-системы. Учитывая подтверждённую активную эксплуатацию и включение в каталог CISA KEV, применение патча и проверка IOC должны быть выполнены в течение ближайших 24–48 часов — каждый час промедления увеличивает вероятность компрометации непропатченных систем.