CISA voegt uitgebuite PTC Windchill RCE-fout toe aan KEV terwijl webshell-aanvallen voortduren

Cyberbeveiliging
CISA voegt uitgebuite PTC Windchill RCE-fout toe aan KEV terwijl webshell-aanvallen voortduren

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een kritieke kwetsbaarheid voor het uitvoeren van externe code die van invloed is op PTC Windchill PDMlink en PTC FlexPLM enterprise Product Data Management (PDM) en Product Lifecycle Management (PLM)-software toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, daarbij verwijzend naar bewijs van actieve exploitatie.

De kwetsbaarheid in kwestie is CVE-2026-12569 (CVSS-score: 9,3), een geval van onjuiste invoervalidatie waardoor een aanvaller willekeurige code kan uitvoeren door een kwaadaardig verzoek naar het netwerk te sturen.

“De kwetsbaarheid is een probleem met de uitvoering van externe code (RCE) dat kan worden misbruikt door deserialisatie van niet-vertrouwde gegevens”, aldus een advies van PTC.

Hoewel er vorige week patches voor de fout zijn uitgebracht, heeft PTC sindsdien vanaf 25 juni bevestigd dat “we voortdurend meldingen hebben ontvangen van verhoogde dreigingsactiviteit”, waarbij het bedrijf bekendmaakte dat onbekende aanvallers de kwetsbaarheid misbruiken om JSP-webshells tegen gevoelige systemen in te zetten.

PTC heeft ook de volgende indicatoren van compromissen (IoC’s) vrijgegeven die verband houden met de activiteit:

  • 172.111.38.31
  • 216.152.148.54
  • 104.243.35.131
  • 74.50.76.146
  • 5.180.41.35
  • 216.152.148.54
  • 5.180.41.35 (Command-and-control-adres van de aanvaller)
  • Webshell-bestanden volgens het naampatroon /Windchill/login/(0-9a-f){16}.jsp

Als oplossing wordt gebruikers geadviseerd de volgende acties uit te voeren:

  • Blok 5.180.41.35 onmiddellijk bij de perimeterfirewall
  • Zoek in HTTP-toegangslogboeken naar eventuele POST-verzoeken /Windchill/login/*.jsp
  • Scan het bestandssysteem op JSP-bestanden die overeenkomen met het patroon van 16 hexadecimale tekens /Windchill/login/(0-9a-f){16}.jsp
  • Hash-controleer eventuele verdachte JSP-bestanden 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c
  • Controleer op flst.txt in /tmp of de Windchill-werkmap, waarvan de aanwezigheid de activiteit van de bestandslijst van de aanvaller bevestigt
  • Voeg een WAF/IDS-regel toe die elk verzoek met de header blokkeert X-windchill-vereiste:
  • Beperk de internetblootstelling van het Windchill-inlogeindpunt waar operationeel mogelijk

Door deze ontwikkeling is het de allereerste PTC-productkwetsbaarheid die aan de KEV-catalogus van CISA is toegevoegd, om nog maar te zwijgen van het feit dat dreigingsactoren nieuw onthulde kwetsbaarheden snel in hun voordeel bewapenen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

FBI waarschuwt dat Russische inlichtingenhackers zich richten op signaalback-upherstelsleutels

Nieuwe DirtyClone Linux-kernelfout zorgt ervoor dat lokale gebruikers root kunnen krijgen via gekloonde pakketten

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]