La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una vulnerabilidad crítica de ejecución remota de código que afecta a PTC Windchill PDMlink y PTC FlexPLM al software de gestión de datos de productos (PDM) y gestión del ciclo de vida del producto (PLM) empresarial de PTC FlexPLM a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2026-12569 (Puntuación CVSS: 9,3), un caso de validación de entrada incorrecta que podría permitir a un atacante ejecutar código arbitrario enviando una solicitud maliciosa a la red.
“La vulnerabilidad es un problema de ejecución remota de código (RCE) que puede explotarse mediante la deserialización de datos que no son de confianza”, según un aviso publicado por PTC.
Aunque la semana pasada se lanzaron parches para la falla, PTC confirmó desde entonces, hasta el 25 de junio, que “hemos recibido informes continuos de una mayor actividad de amenazas”, y la compañía reveló que atacantes desconocidos están explotando la vulnerabilidad para implementar shells web JSP contra sistemas susceptibles.
PTC también ha publicado los siguientes indicadores de compromiso (IoC) asociados con la actividad:
- 172.111.38.31
- 216.152.148.54
- 104.243.35.131
- 74.50.76.146
- 5.180.41.35
- 216.152.148.54
- 5.180.41.35 (Dirección de comando y control del atacante)
- Archivos de shell web que siguen el patrón de nomenclatura /Windchill/login/(0-9a-f){16}.jsp
Como mitigaciones, se recomienda a los usuarios que realicen las siguientes acciones:
- Bloquear 5.180.41.35 en el firewall perimetral inmediatamente
- Busque en los registros de acceso HTTP cualquier solicitud POST para /Escalofrío/login/*.jsp
- Escanee el sistema de archivos en busca de archivos JSP que coincidan con el patrón de 16 caracteres hexadecimales /Escalofrío/login/(0-9a-f){16}.jsp
- Realice una comprobación hash de cualquier archivo JSP sospechoso 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c
- comprobar si flst.txt en /tmp o en el directorio de trabajo de Windchill, cuya presencia confirma la actividad del atacante en el listado de archivos
- Agregue una regla WAF/IDS que bloquee cualquier solicitud que contenga el encabezado X-viento frío-req:
- Restringir la exposición a Internet del punto final de inicio de sesión de Windchill cuando sea operativamente posible
El desarrollo la convierte en la primera vulnerabilidad de un producto PTC agregada al catálogo KEV de CISA, sin mencionar que resalta cómo los actores de amenazas están utilizando rápidamente como arma las vulnerabilidades recientemente reveladas para su beneficio.