La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves una vulnerabilidad crítica de ejecución remota de código que afecta al software de gestión de datos de productos empresariales (PDM) y de gestión del ciclo de vida del producto (PLM) de PTC Windchill PDMlink y PTC FlexPLM a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
La vulnerabilidad en cuestión, CVE-2026-12569 (puntuación CVSS: 9,3), permite a un atacante ejecutar código arbitrario enviando una solicitud maliciosa a la red debido a una validación de entrada incorrecta.
«Esta vulnerabilidad es un problema de ejecución remota de código (RCE) que puede explotarse mediante la deserialización de datos que no son de confianza», según un aviso publicado por PTC.
La semana pasada se lanzó un parche para la falla, pero a partir del 25 de junio, PTC reconoció que «continuó recibiendo informes de una mayor actividad de amenazas» y reveló que atacantes desconocidos están explotando esta vulnerabilidad para implementar shells web JSP contra sistemas susceptibles.
PTC también publicó los siguientes indicadores de compromiso (IoC) relacionados con esta actividad:
172.111.38.31 216.152.148.54 104.243.35.131 74.50.76.146 5.180.41.35 216.152.148.54 5.180.41.35 (dirección de comando y control del atacante) Web shell siguiendo el patrón de nomenclatura archivo/Windchill/login/(0-9a-f){16}.jsp
Como mitigación, recomendamos que los usuarios tomen las siguientes acciones:
Bloquee inmediatamente 5.180.41.35 en su firewall perimetral. Busque en el registro de acceso HTTP solicitudes POST a /Windchill/login/*.jsp. Analiza el sistema de archivos en busca de archivos JSP que coincidan con un patrón de caracteres hexadecimales. /Windchill/login/(0-9a-f){16}.jsp Hash comprueba archivos JSP sospechosos. 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c Compruebe flst.txt en el directorio de trabajo /tmp o Windchill. La presencia de este archivo confirma la actividad de listado de archivos del atacante. Agregue una regla WAF/IDS para bloquear solicitudes con encabezados. X-windchill-req: Restringir la exposición a Internet. Puntos finales de inicio de sesión de Windchill, si es operativamente posible.
Este desarrollo la convierte en la primera vulnerabilidad de un producto de PTC que se agrega al catálogo KEV de CISA y no hace falta decir que resalta cómo los actores de amenazas están utilizando rápidamente como arma las vulnerabilidades recientemente reveladas para su propio beneficio.
Source link
