CISA listet erstmals aktiv ausgenutzte PTC-Windchill-Lücke im KEV-Katalog

Zusammenfassung

Eine Schwachstelle in PTC Windchill wird nach Angaben von CISA bereits bei realen Angriffen ausgenutzt. Die Lücke mit der Kennung CVE-2026-12569 betrifft sowohl PTC Windchill als auch FlexPLM und erlaubt laut Hersteller einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Codes über speziell gestaltete Anfragen. CISA hat die Sicherheitslücke am Donnerstag in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und US-Bundesbehörden angewiesen, das Problem bis zum 28. Juni zu beheben. Damit taucht erstmals überhaupt eine Schwachstelle in einem PTC-Produkt in CISA’s KEV-Katalog auf. PTC hatte bereits am 17. Juni mit der Bereitstellung von Patches und Gegenmaßnahmen begonnen und veröffentlichte am folgenden Tag Kompromittierungsindikatoren. Der Hersteller warnte dabei, dass Angreifer die Lücke zum Einschleusen persistenter JSP-Webshells nutzen, die die ferngesteuerte Ausführung von Befehlen und den Abfluss von Daten ermöglichen.

Im Zentrum der aktuellen Warnung steht CVE-2026-12569, eine Schwachstelle zur Remotecodeausführung in den PTC-Produkten Windchill und FlexPLM. Laut Beschreibung handelt es sich um einen Fehler bei der unzureichenden Eingabevalidierung. Ein entfernter Angreifer benötigt keine Authentifizierung und kann über präparierte Anfragen beliebigen Code ausführen.

CISA hat die Lücke am Donnerstag in den Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Die Behörde fordert Bundesbehörden auf, die Sicherheitslücke bis zum 28. Juni zu beheben. Nach den vorliegenden Angaben ist dies das erste Mal, dass überhaupt eine Schwachstelle in einem PTC-Produkt in diesem Katalog erscheint. Öffentliche Berichte über die Ausnutzung anderer PTC-Lücken liegen demnach nicht vor.

PTC hatte nach eigenen Angaben am 17. Juni damit begonnen, Updates und Maßnahmen zur Risikominderung bereitzustellen. Einen Tag später veröffentlichte der Hersteller Kompromittierungsindikatoren. Zugleich warnte PTC, dass Angreifer die Schwachstelle ausnutzen, um persistente JSP-Webshells zu installieren. Diese ermöglichen laut Hersteller die ferngesteuerte Ausführung von Befehlen und das Abziehen von Daten.

Wer hinter den Angriffen steckt, ist derzeit unklar. PTC ergänzte seine Warnmeldung am Donnerstag aber um den Hinweis, dass dem Unternehmen Berichte über eine „erhöhte Bedrohungsaktivität“ zugehen.

Dass PTC-Produkte ins Visier geraten könnten, war Behörden bereits zuvor ein Thema. Im März hatten deutsche Polizeibehörden Unternehmen laut Bericht physisch über das Risiko informiert, das von einer anderen PTC-Windchill-Schwachstelle ausging: CVE-2026-4681. Damals schien eine Ausnutzung unmittelbar bevorzustehen, Berichte über tatsächliche Angriffe mit CVE-2026-4681 gibt es jedoch nicht.

Kurz bevor die Ausnutzung von CVE-2026-12569 bestätigt wurde, berichtete Heise, dass deutsche Polizeibehörden begonnen hatten, Organisationen wegen der neuen PTC-Schwachstelle zu warnen, nachdem sie von bevorstehenden Angriffen erfahren hatten.

Die aktive Ausnutzung gilt als besonders relevant, weil Windchill laut Quelltext in Industrie- und Fertigungsunternehmen breit eingesetzt wird, darunter in der Automobilindustrie, der Luft- und Raumfahrt, im Verteidigungsbereich und bei Herstellern schwerer Maschinen. Damit betrifft die Schwachstelle Umgebungen, die für Lieferketten und Operational-Technology-Strukturen von Bedeutung sind.

CISA listet erstmals aktiv ausgenutzte PTC-Windchill-Lücke im KEV-Katalog

Ähnliche Artikel

Neueste Artikel