
CISA 将已被利用的 PTC Windchill RCE 漏洞加入 KEV,Web shell 攻击持续
CISA 将影响 PTC Windchill PDMlink 与 PTC FlexPLM 的关键远程代码执行漏洞 CVE-2026-12569 加入 KEV,因已有活跃利用证据。PTC 指出攻击者正借此投放 JSP web shell,受影响系统需立即排查 IoC 并加强缓解措施。
美国 Cybersecurity and Infrastructure Security Agency(CISA)周四将一个影响 PTC Windchill PDMlink 和 PTC FlexPLM 企业 Product Data Management(PDM)与 Product Lifecycle Management(PLM)软件的关键 remote code execution 漏洞加入其 Known Exploited Vulnerabilities(KEV)目录,并以存在活跃利用证据为由。
相关漏洞为 CVE-2026-12569(CVSS score: 9.3),属于 improper input validation,攻击者可通过向网络发送恶意请求来执行任意代码。
根据 PTC 发布的 advisory,这是一项 remote code execution(RCE)问题,可能通过 deserialization of untrusted data 被利用。
尽管该漏洞的补丁已于上周发布,PTC 随后在 6 月 25 日确认,“我们收到了持续不断的更高威胁活动报告”,并披露未知攻击者正在利用该漏洞向易受影响的系统部署 JSP web shells。
PTC 还发布了以下与该活动相关的 indicators of compromise(IoCs) -
172.111.38.31
216.152.148.54
104.243.35.131
74.50.76.146
5.180.41.35
5.180.41.35(攻击者 command-and-control 地址)
文件名模式为 /Windchill/login/[0-9a-f]{16}.jsp 的 web shell 文件
作为缓解措施,建议用户采取以下行动 -
立即在 perimeter firewall 上封锁 5.180.41.35
在 HTTP access logs 中搜索任何发送到 /Windchill/login/*.jsp 的 POST requests
扫描文件系统中是否存在符合 16 位十六进制字符模式 /Windchill/login/[0-9a-f]{16}.jsp 的 JSP files
将任何可疑 JSP files 与 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c 进行 hash-check
检查 /tmp 或 Windchill working directory 中是否存在 flst.txt;其存在可确认攻击者的 file-listing activity
添加阻挡任何包含 header X-windchill-req: 的请求的 WAF / IDS rule
在可操作范围内,限制 Windchill login endpoint 暴露于 internet
此事使其成为首个被加入 CISA KEV catalog 的 PTC 产品漏洞,也凸显威胁行为者正迅速将新披露漏洞武器化,为己所用。