美國網路安全暨基礎設施安全局(CISA)於近期將一項重大遠端程式碼執行漏洞納入已知遭利用漏洞(KEV)目錄。
該漏洞影響 PTC Windchill PDMlink 與 PTC FlexPLM(企業產品資料管理/PDM 與產品生命週期管理/PLM 軟體),且已有證據顯示正遭主動利用。
漏洞細節
此漏洞為
CVE-2026-12569(CVSS 9.3),屬於輸入驗證不當漏洞。攻擊者可透過向目標系統發送惡意請求執行任意程式碼。根據 PTC 的安全公告,該漏洞屬於遠端程式碼執行(RCE),可能透過對不受信任資料的反序列化進行利用。
修補程式已於上週發布。PTC 於 6 月 25 日確認,公司持續接獲威脅活動升高的回報,並指出不明攻擊者正利用此漏洞,對受影響系統部署 JSP Web Shell。
入侵指標與緩解措施
PTC 公布了與本次活動相關的入侵指標(IoC),包含多個攻擊者使用的 IP 位址;其中 5.180.41.35 被識別為攻擊者命令與控制(C2)伺服器位址。Web Shell 檔案命名模式為 /Windchill/login/[0-9a-f]{16}.jsp。
PTC 建議使用者採取以下緩解措施:
- 立即於邊界防火牆封鎖 IP 位址 5.180.41.35。
- 檢視 HTTP 存取日誌,確認是否存在送往 /Windchill/login/*.jsp 的 POST 請求。
- 掃描檔案系統,尋找符合 /Windchill/login/[0-9a-f]{16}.jsp 命名規則(16 位元十六進位字元)的 JSP 檔案。
- 針對可疑的 JSP 檔案計算雜湊值,並與已知惡意檔案雜湊值比對。
- 檢查 /tmp 目錄或 Windchill 工作目錄中是否存在 flst.txt 檔案;若存在,可能表示攻擊者已執行檔案列表行為。
- 視需求新增網路應用程式防火牆(WAF)或入侵偵測系統(IDS)規則,封鎖任何包含 X-windchill-req 標頭的請求。
- 在不影響營運的前提下,降低 Windchill 登入端點對外部網際網路的曝露程度。
此次事件是 PTC 產品首次有漏洞被列入 CISA 的 KEV 目錄,也再次凸顯威脅行為者能在漏洞揭露後迅速將其武器化並加以利用。
本文轉載自 TheHackerNews。