CISA Adds Exploited PTC Windchill RCE Flaw to KEV as Web Shell Attacks Continue

Exploitation active de la faille critique dans PTC Windchill

La CISA a intégré la vulnérabilité CVE-2026-12569 à son catalogue des vulnérabilités exploitées (KEV) après avoir constaté des attaques actives. Cette faille, touchant les logiciels PTC Windchill PDMlink et PTC FlexPLM, permet à un attaquant distant d’exécuter du code arbitraire via la désérialisation de données non fiables.

Points clés :

• Vulnérabilité critique : Score CVSS de 9,3 liée à une validation d’entrée défaillante.
• Mode opératoire : Les attaquants exploitent cette faille pour déployer des web shells (fichiers JSP) sur les systèmes exposés.
• Priorité : C’est la première fois qu’un produit PTC est listé dans le catalogue KEV de la CISA, soulignant la rapidité de l’exploitation par les cybercriminels.

Vulnérabilité identifiée :

• CVE-2026-12569 : Exécution de code à distance (RCE) via la désérialisation de données.

Recommandations de sécurité :

• Mise à jour : Appliquer immédiatement les correctifs fournis par PTC.
• Filtrage réseau : Bloquer l’adresse IP 5.180.41.35 au niveau du pare-feu et restreindre l’exposition de l’interface de connexion Windchill à Internet.
• Détection :
  • Rechercher dans les logs HTTP toute requête POST vers /Windchill/login/*.jsp.
  • Scanner le système de fichiers à la recherche de fichiers .jsp suivant le motif /Windchill/login/[0-9a-f]{16}.jsp.
  • Vérifier la présence du fichier flst.txt dans /tmp ou le répertoire de travail Windchill (signe d’activité malveillante).
  • Déployer une règle WAF/IDS pour bloquer toute requête contenant l’en-tête X-windchill-req:.

Source