25 червня 2026 року CISA внесла вразливість CVE-2026-12569 (CVSS 9.3) до каталогу Known Exploited Vulnerabilities, підтвердивши факт активної експлуатації. Вразливість зачіпає корпоративні платформи керування даними про продукцію — PTC Windchill PDMlink і PTC FlexPLM, які широко використовуються у виробничому секторі, аерокосмічній та оборонній промисловості. Зловмисники вже розгортають JSP-вебшели на вразливих системах. Організаціям, що використовують ці продукти, необхідно негайно застосувати патчі та провести перевірку на компрометацію.
Технічна суть вразливості
Згідно з бюлетенем PTC, CVE-2026-12569 є вразливістю віддаленого виконання коду (RCE), спричиненою некоректною валідацією вхідних даних. Коренева причина — десеріалізація недовірених даних: атакувальний суб’єкт може надіслати спеціально сформований мережевий запит, який призведе до виконання довільного коду на сервері.
За даними запису CVE, вразливість оцінено в 9.3 за шкалою CVSS, що відповідає критичному рівню серйозності. Експлуатація не потребує автентифікації й здійснюється через мережу, що робить будь-яку доступну з інтернету інсталяцію Windchill потенційною ціллю.
Патчі були випущені PTC до 25 червня, однак компанія підтвердила, що й надалі отримує повідомлення про «підвищену активність загроз». Невстановлені зловмисники експлуатують вразливість для розгортання JSP-вебшелів — серверних бекдорів, які забезпечують постійний доступ до скомпрометованої системи.
Спостережувана кампанія та індикатори компрометації
PTC опублікувала детальний набір індикаторів компрометації (IOC), пов’язаних з поточною кампанією. Вебшели розміщуються за шляхом /Windchill/login/ і мають імена, що складаються з 16 шістнадцяткових символів із розширенням .jsp (патерн: /Windchill/login/[0-9a-f]{16}.jsp).
IP-адреси атакувальної інфраструктури:
- 172.111.38.31
- 216.152.148.54
- 104.243.35.131
- 74.50.76.146
- 5.180.41.35 — ідентифікована PTC як адреса командного сервера (C2)
Додаткові артефакти:
- SHA-256-хеш вебшела:
55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c - Файл
flst.txtу каталозі/tmpабо робочому каталозі Windchill — індикатор розвідувальної активності зловмисника (лістинг файлової системи) - Нетиповий HTTP-заголовок
X-windchill-req:, що використовується в атакувальних запитах
Характер атаки — десеріалізація з подальшим розгортанням вебшела та підключенням до C2 — вказує на методичний підхід, спрямований на закріплення в інфраструктурі жертви. Використання файлу лістингу (flst.txt) свідчить про те, що після первинного доступу зловмисники проводять розвідку вмісту сервера, ймовірно, для виявлення цінних даних або подальшого просування мережею.
Оцінка впливу
PTC Windchill — одна з провідних PLM-платформ, яку використовують великі виробничі підприємства для керування життєвим циклом продуктів, включно з конструкторською документацією, специфікаціями матеріалів (BOM) та даними про ланцюги постачання. FlexPLM застосовується в індустрії моди та роздрібної торгівлі для керування розробкою продуктів.
Компрометація PLM-системи потенційно відкриває доступ до:
- об’єктів інтелектуальної власності — креслень, 3D-моделей, технологічних процесів
- даних про ланцюги постачання та інформації про постачальників
- внутрішньої мережі підприємства через горизонтальне переміщення від скомпрометованого сервера
Ті темпи, з якими зловмисники почали експлуатувати CVE-2026-12569 — упродовж кількох днів після публікації патча — підкреслюють критичну важливість оперативного оновлення. Вікно між розкриттям вразливості та початком масової експлуатації й далі скорочується.
Рекомендації щодо реагування
PTC та CISA рекомендують такі негайні дії:
Пріоритет 1: Блокування та патч
- Негайно заблокувати IP-адресу C2-сервера 5.180.41.35 на периметровому міжмережевому екрані
- Заблокувати решту опублікованих IP-адрес атакувальної інфраструктури
- Застосувати патч від PTC відповідно до офіційного бюлетеня
- Обмежити доступ до ендпойнту Windchill login з інтернету, де це операційно допустимо
Пріоритет 2: Виявлення компрометації
- Перевірити HTTP-логи на наявність POST-запитів до
/Windchill/login/*.jsp - Виконати пошук JSP-файлів за патерном
/Windchill/login/[0-9a-f]{16}.jspу файловій системі - Звірити хеші виявлених JSP-файлів з опублікованим SHA-256:
55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c - Перевірити наявність файлу
flst.txtу/tmpта робочому каталозі Windchill — його присутність підтверджує активність зловмисника
Пріоритет 3: Превентивний захист
- Додати правило WAF/IDS для блокування запитів, що містять заголовок
X-windchill-req: - Налаштувати моніторинг мережевих з’єднань до опублікованих IP-адрес
Організаціям, які виявили ознаки компрометації, слід розглядати інцидент як повноцінне проникнення: ізолювати задіяні сервери, провести криміналістичний аналіз і оцінити масштаб доступу зловмисників до даних PLM-системи. З огляду на підтверджену активну експлуатацію та включення до каталогу CISA KEV, застосування патча і перевірка IOC мають бути виконані протягом найближчих 24–48 годин — кожна година зволікання підвищує ймовірність компрометації непатчених систем.