PTC Windchill RCE CVE-2026-12569: Web-Shells aktiv im Einsatz

Die PTC Windchill RCE CVE-2026-12569 (CVSS 9.3) wird aktiv ausgenutzt — und dies ist die zweite Angriffswelle gegen dasselbe Produkt innerhalb von drei Monaten. Angreifer platzieren aktiv persistente JSP-Web-Shells in Windchill-PDMLink- und FlexPLM-Installationen. CISA hat die Schwachstelle am 25. Juni 2026 in den Known Exploited Vulnerabilities-Katalog aufgenommen. Die bundesbehördliche Frist zur Behebung am 28. Juni ist bereits abgelaufen. Organisationen, die noch nicht gepatcht haben, sind einem aktiven Kompromittierungsrisiko ausgesetzt.

Was ist passiert

PTC Windchill RCE CVE-2026-12569 ist eine Schwachstelle durch fehlerhafte Eingabevalidierung in PTC Windchill PDMLink und PTC FlexPLM — Enterprise-Software für Product Data Management (PDM) und Product Lifecycle Management (PLM), die in der Fertigungs-, Automobil-, Luft- und Raumfahrt- sowie Verteidigungsindustrie weit verbreitet ist. Die Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, durch eine manipulierte Netzwerkanfrage beliebigen Code auszuführen. Die Ursache liegt in der unsicheren Deserialisierung nicht vertrauenswürdiger Eingabedaten.

PTC veröffentlichte Patches am 17.–18. Juni 2026. Dennoch bestätigte PTC am 25. Juni „anhaltende Berichte über erhöhte Bedrohungsaktivität“ — aktive Ausnutzung war im Gange, auch gegen Organisationen, die seit über einer Woche Zugang zu den Patches hatten.

Das Angriffsmuster ist forensisch eindeutig identifizierbar: Angreifer platzieren persistente JSP-Web-Shells unter dem Pfad /Windchill/login/, mit einem Dateinamensschema aus genau 16 Kleinbuchstaben-Hexadezimalzeichen (beispielsweise a3f9c1b7d4e2f850.jsp). Dieses spezifische IOC-Muster macht die Bedrohungssuche direkt umsetzbar. Das PTC-Advisory vom 25. Juni veröffentlichte fünf Angreifer-IP-Adressen und einen SHA-256-Hash des bekannten Web-Shell-Payloads. Das Vorhandensein einer Datei namens flst.txt in /tmp oder im Windchill-Arbeitsverzeichnis wurde ebenfalls als Post-Exploitation-Indikator für Dateiauflistungsaktivitäten der Angreifer beobachtet.

Dies ist das erste PTC-Produkt, das jemals in den CISA-KEV-Katalog aufgenommen wurde. Betroffene Versionen: Windchill PDMLink und FlexPLM 11.0 M030, 11.1 M020, 11.2.1, 12.0.2, 12.1.2, 13.0.2 und 13.1.1. Für alle betroffenen Branches stehen Patches zur Verfügung.

Warum das wichtig ist

Windchill ist keine Standard-Webanwendung. Es enthält Engineering-Designs, Stücklisten, CAD-Baugruppen, Prozessplanungen und Produktionsabläufe — das sensibelste geistige Eigentum einer Fertigungsorganisation. Eine persistente Web-Shell im Windchill-Login-Verzeichnis verschafft Angreifern dauerhaften Kommandozeilenzugang zu einem Server im Engineering-Netzwerk, der typischerweise direkt an OT-Systemen, CAD-Repositories und Lieferantenintegrationen liegt.

Dies ist das zweite kritische CVE in PTC Windchill innerhalb von drei Monaten. Im März 2026 führte CVE-2026-4681 (CVSS 10.0) — eine nicht authentifizierte RCE in derselben Produktfamilie — zu einem Schweregrad, der Strafverfolgungsbehörden dazu veranlasste, betroffene Systemadministratoren in Deutschland zu kontaktieren. Diese Schwachstelle wurde gepatcht. Die Angreifer haben das Produkt nicht verlassen — sie haben einen neuen Angriffspunkt gefunden.

Für DACH-Hersteller und ihre Tier-1- und Tier-2-Lieferanten: Windchill ist jetzt ein bekanntes, aktiv angegriffenes Produktfeld. Zwei separate RCE-Schwachstellen, die im selben Produkt innerhalb von 90 Tagen ausgenutzt werden, signalisieren eine nachhaltige Angreifer-Konzentration — keine opportunistische Scans. Das erfordert eine Sicherheitsarchitekturüberprüfung der Windchill-Exposition, Segmentierung und Überwachungsabdeckung, keinen weiteren Patch-Zyklus.

Für NIS2-regulierte Organisationen: Die durch CISA bestätigte aktive Ausnutzung stellt einen Sicherheitsvorfall dar. Abhängig von den gefährdeten Daten und dem sektoralen Geltungsbereich kann dies Meldepflichten nach Artikel 23 auslösen. Rechtliche Beratung sollte eingeholt werden.

Was Sie jetzt tun sollten

1. Sofort patchen. Installieren Sie den Juni-2026-Patch für Ihren Windchill-Branch (11.0 M030, 11.1 M020, 11.2.1, 12.0.2, 12.1.2, 13.0.2 oder 13.1.1). Konsultieren Sie das PTC-Advisory für das spezifische Fix-Paket je Version. Das Patchen stoppt neue Ausnutzung, entfernt jedoch keine bereits platzierten Web-Shells.
2. Jetzt nach Web-Shells suchen. Durchsuchen Sie das Dateisystem nach JSP-Dateien mit dem 16-Hex-Zeichen-Muster unter /Windchill/login/. Jeder Treffer bedeutet eine aktive Kompromittierung, die vor dem Patchen stattfand. Prüfen Sie ebenfalls auf flst.txt in /tmp oder dem Windchill-Arbeitsverzeichnis.
3. HTTP-Zugriffsprotokolle prüfen. Suchen Sie nach POST-Anfragen an /Windchill/login/*.jsp. Legitimer Windchill-Traffic sendet keine POST-Anfragen an diesen Pfad. Unerwartete POST-Aktivität ist ein starker Kompromittierungsindikator.
4. Angreifer-IPs blockieren und ausgehenden Traffic prüfen. Das PTC-Advisory vom 25. Juni enthält fünf IOC-IP-Adressen. Blockieren Sie diese am Perimeter und prüfen Sie Firewall-Logs auf bestehende ausgehende Verbindungen zu diesen IPs — falls Traffic vorhanden ist, haben Angreifer bereits Persistenz etabliert.

DIESEC Einschätzung

PLM-Systeme werden in Schwachstellenmanagement-Programmen häufig unterrepräsentiert, da sie als Engineering-Tools und nicht als IT-Infrastruktur klassifiziert werden. In DACH-Fertigungsumgebungen sitzen Windchill-Instanzen oft in internen Netzwerken mit breitem Zugriff auf CAD-Repositories, Lieferantenportale und manchmal mit direkter Konnektivität zu Produktionskontrollsystemen. Genau deshalb sind sie hochattraktive Ziele für Industriespionage und Supply-Chain-Disruption. Zwei CVEs in drei Monaten im selben Produkt sollten eine Sicherheitsarchitekturüberprüfung auslösen — Netzwerksegmentierung, Zugriffskontrollen, Überwachungsabdeckung. Wenn Sie Unterstützung bei der Bewertung Ihrer Windchill-Exposition oder einem Compromise Assessment benötigen, kontaktieren Sie das DIESEC-Team.

Quellen: The Hacker News | SecurityWeek | CISA KEV-Katalog
Veröffentlicht: 2026-06-30 | Kategorie: Schwachstellen & Patches | ~4 Min. Lesezeit