30 Giugno 2026 12:56    Alert

PTC Windchill e FlexPLM CVE-2026-12569: deserializzazione porta a RCE non autenticata e webshell JSP, già in KEV

Le piattaforme che governano dati di progettazione e distinte di produzione sono finite nel mirino: la CVE-2026-12569 in PTC Windchill PDMLink e FlexPLM, i sistemi di product lifecycle management diffusi in ambito manifatturiero, è sfruttata attivamente in rete. Si tratta di una remote code execution con CVSS v3.1 pari a 9.3, originata da una validazione impropria dell'input e dalla deserializzazione di dati non attendibili: un attaccante remoto e non autenticato può inviare oggetti serializzati malevoli e ottenere l'esecuzione di codice arbitrario sul server, senza bisogno di alcuna credenziale.

La CISA ha inserito la CVE nel catalogo KEV il 25 giugno 2026, citando evidenza di sfruttamento attivo: è la prima volta che si osserva in rete lo sfruttamento di una falla di Windchill. Sui sistemi non aggiornati sono state osservate webshell in JavaServer Pages depositate nella directory di login del prodotto, riconoscibili dal percorso /Windchill/login/ seguito da un nome di 16 caratteri esadecimali e con estensione .jsp; PTC ha rilasciato indicatori di compromissione tra cui l'indirizzo di comando e controllo 5.180.41.35. La catena è la stessa già vista in altre applicazioni enterprise di quest'anno: un difetto di deserializzazione Java che apre a RCE non autenticata, sulla scia di quanto trattato per Jenkins (CVE-2026-53435) e OpenAM. Il vendor ha pubblicato le correzioni per i rami supportati e ne raccomanda l'applicazione immediata.

A doversene preoccupare è chi espone un'istanza Windchill o FlexPLM raggiungibile dalla rete, tipicamente in aziende manifatturiere, ingegneristiche e nelle relative catene di fornitura: la compromissione di questi server significa accesso a proprietà intellettuale, disegni tecnici e dati di prodotto, oltre a un punto di persistenza dentro l'ambiente industriale. Data la natura non autenticata dello sfruttamento e la presenza di webshell, il solo aggiornamento non basta dove c'è stata compromissione: vanno cercati i file .jsp anomali nel percorso di login e verificato il traffico verso gli IP indicati da PTC.

  • Versioni affette: PTC Windchill PDMLink e FlexPLM, molteplici rami supportati fino alle versioni 11.0 M030, 11.1 M020, 11.2.1.0, 12.0.x, 12.1.x, 13.0.x e 13.1.x (dettaglio puntuale nell'advisory PTC).
  • Azione raccomandata: applicare con urgenza gli aggiornamenti di sicurezza PTC entro la scadenza KEV; caricare gli IoC forniti sugli apparati di sicurezza; ispezionare /Windchill/login/ alla ricerca di webshell JSP con nome esadecimale e monitorare le connessioni verso gli indirizzi C2 segnalati.

 

Fonti: ACN, Help Net Security, The Hacker News, NVD