- Агентство CISA впервые внесло уязвимость продукта компании PTC в свой каталог известных эксплуатируемых уязвимостей (KEV Catalog). Речь идёт о критическом RCE-баге в
Что именно сломали в этот раз
Уязвимость получила идентификатор CVE-2026-12569 с CVSS-баллом 9,3. В основе — неправильная валидация входных данных и десериализация недоверенных данных. Сетевой атакующий отправляет сформированный запрос и получает возможность исполнить произвольный код на сервере. Никакой аутентификации, никакой сложной социальной инженерии — один пакет и машина под контролем.
PTC подтвердила «продолжающиеся сообщения о повышенной активности угроз» ещё 25 июня. Патчи вышли неделей раньше, но это не остановило атакующих. Наоборот, эксплуатация набирает обороты. CISA отреагировала добавлением в KEV — а значит, федеральным ведомствам США предписано устранить проблему, да и остальным компаниям стоит поторопиться.
Чем опасны веб-шеллы в Windchill
После проникновения злоумышленники загружают на скомпрометированный сервер JSP-веб-шелл. Файлы маскируются под легитимные компоненты: имя — строка из 16 шестнадцатеричных символов. Образец выглядит так: /Windchill/login/[0-9a-f]{16}.jsp. Один из известных хэшей такого шелла — SHA-256 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c.
Для разведки внутри сети атакующие используют файл flst.txt, который оказывается либо в каталоге /tmp, либо в рабочей директории Windchill. Сам факт наличия этого файла — прямое доказательство взлома: кто-то перечислял содержимое файловой системы.
Кастомный заголовок как маяк
В сетевом трафике атакующие применяют собственный заголовок X-windchill-req:. Любой запрос с таким заголовком — индикатор вредоносной активности. WAF и IDS должны блокировать его немедленно, а расследование логов стоит начать с поиска POST-запросов к /Windchill/login/\.jsp.
Список IP для блокировки
PTC и исследователи опубликовали перечень адресов, которые уже замечены в атаках. Их стоит заблокировать на периметре прямо сейчас:
- []111.38.31 (без последнего октета, нужно уточнение, но блокировать известный диапазон стоит)
[]216.152.148.54
[]104.243.35.131
[]74.50.76.146
[]5.180.41.35
[]5.180.41.180 (вероятный второй адрес из задвоенной записи
В исходных данных есть опечатки: адрес 216.152.148.54 фигурирует дважды, а в одной строке два адреса склеились. На практике это значит — индикаторы стоит сверять, не полагаясь на автоматический импорт без вычитки.
Что делать прямо сейчас
[list=decimal]
[]Заблокировать указанные IP на периметре
[]Проверить HTTP-логи на POST-запросы к /Windchill/login/\.jsp
[]Просканировать файловую систему по маске /Windchill/login/[0-9a-f]{16}.jsp
[]Сверить хэши найденных JSP с известным вредоносным
[]Проверить наличие flst.txt в /tmp и рабочей директории Windchill
[]Настроить WAF/IDS на блокировку заголовка X-windchill-req:
[]Ограничить сетевой доступ к логину Windchill извне, если это допускает бизнес-процесс
[]Поставить патчи PTC — компания выпустила их неделю назад
Почему это событие символично именно сейчас
Windchill и FlexPLM — корпоративные PLM/PDM-системы: в них лежат не просто документы, а конструкторская документация, спецификации изделий, данные о поставщиках. Для производственного предприятия утечка такого массива сопоставима с утечкой финансовой отчётности для банка. До этого PTC никогда не фигурировала в KEV. Теперь фигурирует. Атакующие расширяют охват и идут туда, где раньше промышленный шпионаж казался теоретическим риском.
Из совокупности признаков — кастомный заголовок, шестнадцатеричные имена шеллов, десериализация — вырисовывается типичная APT-кампания: разведка, закрепление через веб-шелл, дальнейшее продвижение по сети. Если Windchill смотрит в интернет хоть одним портом — это входная дверь, которую прямо сейчас пытаются открыть.