Am 25. Juni 2026 hat CISA die Schwachstelle CVE-2026-12569 (CVSS 9.3) in den Known Exploited Vulnerabilities-Katalog aufgenommen und damit die aktive Ausnutzung bestätigt. Die Schwachstelle betrifft unternehmensweite Plattformen zur Verwaltung von Produktdaten – PTC Windchill PDMlink und PTC FlexPLM, die breit im Fertigungssektor sowie in der Luft- und Raumfahrt- und Verteidigungsindustrie eingesetzt werden. Angreifer bringen bereits JSP-Webshells auf verwundbaren Systemen zum Einsatz. Organisationen, die diese Produkte nutzen, müssen umgehend Patches einspielen und auf eine mögliche Kompromittierung prüfen.
Technische Details der Schwachstelle
Laut dem PTC-Advisory stellt CVE-2026-12569 eine remote code execution (RCE)-Schwachstelle dar, die durch eine fehlerhafte Validierung von Eingabedaten verursacht wird. Die eigentliche Ursache ist die Deserialisierung nicht vertrauenswürdiger Daten: Ein Angreifer kann eine speziell präparierte Netzwerk-Anfrage senden, die zur Ausführung beliebigen Codes auf dem Server führt.
Nach Angaben des CVE-Eintrags wurde der Schwachstelle ein CVSS-Score von 9.3 zugewiesen, was einem kritischen Schweregrad entspricht. Für die Ausnutzung ist keine Authentifizierung erforderlich und sie erfolgt über das Netzwerk, wodurch jede aus dem Internet erreichbare Windchill-Installation potenziell zur Zielscheibe wird.
PTC hat Patches bereits vor dem 25. Juni veröffentlicht, das Unternehmen bestätigte jedoch, dass weiterhin Meldungen über eine „erhöhte Bedrohungsaktivität“ eingehen. Unbekannte Angreifer nutzen die Schwachstelle zur Bereitstellung von JSP-Webshells – serverseitigen Backdoors, die einen dauerhaften Zugriff auf das kompromittierte System ermöglichen.
Beobachtete Kampagne und Indikatoren einer Kompromittierung
PTC hat einen detaillierten Satz von Indikatoren einer Kompromittierung (IOC) veröffentlicht, die mit der aktuellen Kampagne in Verbindung stehen. Die Webshells werden unter dem Pfad /Windchill/login/ abgelegt und haben Dateinamen aus 16 hexadezimalen Zeichen mit der Endung .jsp (Pattern: /Windchill/login/[0-9a-f]{16}.jsp).
IP-Adressen der angreifenden Infrastruktur:
- 172.111.38.31
- 216.152.148.54
- 104.243.35.131
- 74.50.76.146
- 5.180.41.35 — von PTC als Adresse des Command-and-Control-Servers (C2) identifiziert
Weitere Artefakte:
- SHA-256-Hash der Webshell:
55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c - Datei
flst.txtim Verzeichnis/tmpoder im Arbeitsverzeichnis von Windchill — Indikator für Aufklärungsaktivität des Angreifers (Listing des Dateisystems) - Nicht standardmäßiger HTTP-Header
X-windchill-req:, der in Angriffs-Requests verwendet wird
Die Art des Angriffs – Deserialisierung mit anschließender Bereitstellung einer Webshell und Anbindung an den C2 – weist auf ein methodisches Vorgehen hin, das auf eine dauerhafte Verankerung in der Infrastruktur des Opfers abzielt. Die Verwendung der Listing-Datei (flst.txt) zeigt, dass die Angreifer nach dem Erstzugriff eine Erkundung des Serverinhalts durchführen, vermutlich um wertvolle Daten zu identifizieren oder sich weiter im Netzwerk zu bewegen.
Einschätzung der Auswirkungen
PTC Windchill ist eine der führenden PLM-Plattformen, die von großen Fertigungsunternehmen für das Product Lifecycle Management genutzt wird, einschließlich Konstruktionsunterlagen, Stücklisten (BOM) und Daten zu Lieferketten. FlexPLM wird in der Mode- und Retailbranche für das Management der Produktentwicklung eingesetzt.
Eine Kompromittierung des PLM-Systems eröffnet potenziell Zugriff auf:
- geistiges Eigentum – Zeichnungen, 3D-Modelle, Fertigungsprozesse
- Daten zur Lieferkette und Informationen über Zulieferer
- das interne Unternehmensnetz über laterale Bewegung ausgehend vom kompromittierten Server
Die Geschwindigkeit, mit der Angreifer begonnen haben, CVE-2026-12569 auszunutzen – innerhalb von Tagen nach Veröffentlichung des Patches – unterstreicht die Dringlichkeit eines zügigen Patchens. Das Zeitfenster zwischen Offenlegung einer Schwachstelle und Beginn ihrer massenhaften Ausnutzung verkürzt sich immer weiter.
Empfehlungen zur Reaktion
PTC und CISA empfehlen die folgenden sofortigen Maßnahmen:
Priorität 1: Blockieren und Patchen
- Unverzüglich blockieren des IP-Adresse des C2-Servers 5.180.41.35 auf der Perimeter-Firewall
- Blockieren der übrigen veröffentlichten IP-Adressen der Angreifer-Infrastruktur
- Einspielen des Patches von PTC gemäß dem offiziellen Advisory
- Einschränkung des Zugriffs auf den Windchill-login-Endpunkt aus dem Internet, wo dies betrieblich vertretbar ist
Priorität 2: Erkennung einer Kompromittierung
- Prüfung der HTTP-Logs auf POST-Anfragen an
/Windchill/login/*.jsp - Suche nach JSP-Dateien mit dem Pattern
/Windchill/login/[0-9a-f]{16}.jspim Dateisystem - Abgleich der Hashes gefundener JSP-Dateien mit dem veröffentlichten SHA-256:
55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c - Prüfung auf das Vorhandensein der Datei
flst.txtin/tmpund im Arbeitsverzeichnis von Windchill — ihr Vorhandensein bestätigt Aktivität des Angreifers
Priorität 3: Präventiver Schutz
- Ergänzen einer WAF/IDS-Regel zum Blockieren von Requests, die den Header
X-windchill-req:enthalten - Einrichtung eines Monitorings für Netzwerkverbindungen zu den veröffentlichten IP-Adressen
Organisationen, die Anzeichen einer Kompromittierung feststellen, sollten den Vorfall als vollwertigen Einbruch betrachten: betroffene Server isolieren, forensische Analysen durchführen und das Ausmaß des Zugriffs der Angreifer auf die Daten des PLM-Systems bewerten. Angesichts der bestätigten aktiven Ausnutzung und der Aufnahme in den CISA-KEV-Katalog sollten das Einspielen des Patches und die IOC-Prüfung innerhalb der nächsten 24–48 Stunden erfolgen — jede Stunde Verzögerung erhöht die Wahrscheinlichkeit einer Kompromittierung ungepatchter Systeme.