Mastodon Mastodon Mastodon Mastodon

Критическая уязвимость в PTC Windchill и FlexPLM активно эксплуатируется — CISA добавила в KEV

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

25 июня 2026 года CISA внесла уязвимость CVE-2026-12569 (CVSS 9.3) в каталог Known Exploited Vulnerabilities, подтвердив факт активной эксплуатации. Уязвимость затрагивает корпоративные платформы управления данными о продуктах — PTC Windchill PDMlink и PTC FlexPLM, широко используемые в производственном секторе, аэрокосмической и оборонной промышленности. Злоумышленники уже разворачивают JSP-веб-шеллы на уязвимых системах. Организациям, использующим эти продукты, необходимо немедленно применить патчи и провести проверку на компрометацию.

Техническая суть уязвимости

Согласно бюллетеню PTC, CVE-2026-12569 представляет собой уязвимость удалённого выполнения кода (RCE), вызванную некорректной валидацией входных данных. Корневая причина — десериализация недоверенных данных: атакующий может отправить специально сформированный сетевой запрос, который приведёт к выполнению произвольного кода на сервере.

По данным записи CVE, уязвимости присвоена оценка CVSS 9.3, что соответствует критическому уровню серьёзности. Эксплуатация не требует аутентификации и осуществляется через сеть, что делает любую доступную из интернета инсталляцию Windchill потенциальной целью.

Патчи были выпущены PTC до 25 июня, однако компания подтвердила, что продолжает получать сообщения о «повышенной активности угроз». Неизвестные злоумышленники эксплуатируют уязвимость для развёртывания JSP-веб-шеллов — серверных бэкдоров, обеспечивающих постоянный доступ к скомпрометированной системе.

Наблюдаемая кампания и индикаторы компрометации

PTC опубликовала детальный набор индикаторов компрометации (IOC), связанных с текущей кампанией. Веб-шеллы размещаются по пути /Windchill/login/ и имеют имена, состоящие из 16 шестнадцатеричных символов с расширением .jsp (паттерн: /Windchill/login/[0-9a-f]{16}.jsp).

IP-адреса атакующей инфраструктуры:

  • 172.111.38.31
  • 216.152.148.54
  • 104.243.35.131
  • 74.50.76.146
  • 5.180.41.35 — идентифицирован PTC как адрес командного сервера (C2)

Дополнительные артефакты:

  • SHA-256 хеш веб-шелла: 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c
  • Файл flst.txt в каталоге /tmp или рабочей директории Windchill — индикатор разведывательной активности атакующего (листинг файловой системы)
  • Нестандартный HTTP-заголовок X-windchill-req:, используемый в атакующих запросах

Характер атаки — десериализация с последующим развёртыванием веб-шелла и подключением к C2 — указывает на методичный подход, нацеленный на закрепление в инфраструктуре жертвы. Использование файла листинга (flst.txt) свидетельствует о том, что после первоначального доступа атакующие проводят разведку содержимого сервера, вероятно, для идентификации ценных данных или дальнейшего продвижения по сети.

Оценка воздействия

PTC Windchill — одна из ведущих PLM-платформ, используемая крупными производственными предприятиями для управления жизненным циклом продуктов, включая конструкторскую документацию, спецификации материалов (BOM) и данные о цепочках поставок. FlexPLM применяется в индустрии моды и розничной торговли для управления разработкой продуктов.

Компрометация PLM-системы потенциально открывает доступ к:

  • Интеллектуальной собственности — чертежам, 3D-моделям, технологическим процессам
  • Данным цепочки поставок и информации о поставщиках
  • Внутренней сети предприятия через горизонтальное перемещение от скомпрометированного сервера

Скорость, с которой злоумышленники начали эксплуатировать CVE-2026-12569 — в течение дней после публикации патча — подчёркивает критичность оперативного обновления. Окно между раскрытием уязвимости и началом массовой эксплуатации продолжает сокращаться.

Рекомендации по реагированию

PTC и CISA рекомендуют следующие немедленные действия:

Приоритет 1: Блокировка и патч

  • Немедленно заблокировать IP-адрес C2-сервера 5.180.41.35 на периметровом межсетевом экране
  • Заблокировать остальные опубликованные IP-адреса атакующей инфраструктуры
  • Применить патч от PTC в соответствии с официальному бюллетеню
  • Ограничить доступ к эндпоинту Windchill login из интернета, где это операционно допустимо

Приоритет 2: Обнаружение компрометации

  • Проверить HTTP-логи на наличие POST-запросов к /Windchill/login/*.jsp
  • Выполнить поиск JSP-файлов по паттерну /Windchill/login/[0-9a-f]{16}.jsp в файловой системе
  • Сверить хеши обнаруженных JSP-файлов с опубликованным SHA-256: 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c
  • Проверить наличие файла flst.txt в /tmp и рабочей директории Windchill — его присутствие подтверждает активность атакующего

Приоритет 3: Превентивная защита

  • Добавить правило WAF/IDS для блокировки запросов, содержащих заголовок X-windchill-req:
  • Настроить мониторинг сетевых соединений к опубликованным IP-адресам

Организациям, обнаружившим признаки компрометации, следует рассматривать инцидент как полноценное проникновение: изолировать затронутые серверы, провести криминалистический анализ и оценить масштаб доступа атакующих к данным PLM-системы. Учитывая подтверждённую активную эксплуатацию и включение в каталог CISA KEV, применение патча и проверка IOC должны быть выполнены в течение ближайших 24–48 часов — каждый час промедления увеличивает вероятность компрометации непропатченных систем.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.