ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Perşembe günü, aktif istismara ilişkin kanıtları öne sürerek, Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna PTC Windchill PDMlink ve PTC FlexPLM kurumsal Ürün Veri Yönetimi (PDM) ve Ürün Yaşam Döngüsü Yönetimi (PLM) yazılımını etkileyen kritik bir uzaktan kod yürütme güvenlik açığını ekledi.
Söz konusu güvenlik açığı CVE-2026-12569'dur (CVSS puanı: 9,3), bir saldırganın ağa kötü amaçlı bir istek göndererek rastgele kod yürütmesine olanak tanıyan hatalı giriş doğrulama durumudur.
PTC tarafından yayınlanan bir tavsiye belgesine göre "Güvenlik açığı, güvenilmeyen verilerin seri durumdan çıkarılması yoluyla kullanılabilecek bir uzaktan kod yürütme (RCE) sorunudur."
Kusura yönelik yamalar geçen hafta yayınlanmış olmasına rağmen PTC, 25 Haziran itibarıyla "tehdit faaliyetlerinin arttığına dair sürekli raporlar aldığımızı" doğruladı ve şirket, bilinmeyen saldırganların hassas sistemlere karşı JSP web kabuklarını dağıtmak için bu güvenlik açığından yararlandığını açıkladı.
PTC ayrıca etkinlikle ilişkili aşağıdaki risk göstergelerini (IoC'ler) yayınladı:
172.111.38.31
216.152.148.54
104.243.35.131
74.50.76.146
5.180.41.35
216.152.148.54
5.180.41.35 (Saldırganın komut ve kontrol adresi)
/Windchill/login/[0-9a-f]{16}.jsp adlandırma modelini izleyen web kabuğu dosyaları
Azaltıcı önlem olarak kullanıcılara aşağıdaki eylemleri gerçekleştirmeleri önerilir:
Çevre güvenlik duvarında 5.180.41.35'i derhal engelleyin
çevre güvenlik duvarında /Windchill/login/*.jsp'ye yönelik herhangi bir POST isteği için hemen HTTP erişim günlüklerinde arama yapın
16 onaltılık karakter düzeniyle eşleşen JSP dosyaları için dosya sistemini tarayın /Windchill/login/[0-9a-f]{16}.jsp
Şüpheli JSP dosyalarını 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c'ye göre karma kontrol edin
/tmp veya Windchill çalışma dizininde flst.txt olup olmadığını kontrol edin; varlığı saldırganın dosya listeleme etkinliğini doğrular
/tmp veya Windchill çalışma dizininde, varlığı saldırganın dosya listeleme etkinliğini doğrular. X-windchill-req başlığını içeren herhangi bir isteği engelleyen WAF / IDS kuralı ekleyin:
Operasyonel olarak mümkün olduğunda Windchill oturum açma uç noktasının internete maruz kalmasını kısıtlayın
Bu gelişme, onu CISA'nın KEV kataloğuna eklenen ilk PTC ürün güvenlik açığı haline getiriyor ve tehdit aktörlerinin yeni açıklanan güvenlik açıklarını kendi avantajlarına göre nasıl hızla silahlandırdığının altını çiziyor.