PTC предупредила о критической RCE-уязвимости в Windchill и FlexPLM: патча пока нет

PTC предупредила клиентов о критической уязвимости в Windchill и FlexPLM, которая может привести к удалённому выполнению кода — Remote Code Execution, или RCE. На момент публикации предупреждения готового патча ещё не было, поэтому компания потребовала срочно включить временную защиту на Apache или IIS и отдельно посоветовала отключить систему от интернета, если быстро применить workaround не получается

Windchill и FlexPLM — это корпоративные PLM-системы, то есть платформы для управления жизненным циклом продукта: инженерными данными, изменениями, спецификациями, файлами и процессами разработки. Поэтому риск здесь не только технический. Такие системы часто стоят в промышленности, машиностроении, крупных цепочках поставок и компаниях с чувствительной проектной документацией.

Согласно уведомлению, проблема связана с удалённым выполнением кода через десериализацию недоверенных данных. Если говорить проще, сервер может принять специально сформированные данные и в результате выполнить чужой код. В партнёрском уведомлении EAC, которое пересказывает инструкции PTC и обновлялось по мере развития ситуации, уязвимость описана именно так, а базовая оценка риска указана как CVSS 10.0 (Critical).

BleepingComputer называет уязвимость CVE-2026-4681 и пишет, что PTC заявляла о «достоверных признаках неминуемой угрозы» эксплуатации со стороны третьего лица. Но в доступном уведомлении PTC/EAC говорится, что подтверждённых случаев эксплуатации против клиентов PTC на момент публикации не было, но компания всё равно уже публиковала IoC и требовала немедленных действий. 

Heise со ссылкой на краткое уведомление производителя пишет, что опасность связана с двумя servlet-путями:

• /servlet/WindchillGW/com.ptc.wvs.server.publish.Publish

• /servlet/WindchillAuthGW/com.ptc.wvs.server.publish.Publish

Именно поэтому временная защита у PTC сводится к конкретной мере: запретить доступ к этим путям на уровне Apache или IIS, возвращая 403 Forbidden. В инструкции EAC/PTC для Apache используется LocationMatch, а для IIS — правило URL Rewrite.

Согласно опубликованному списку под ударом оказались многие поддерживаемые версии Windchill PDMLink и FlexPLM. В частности, в уведомлении перечислены:

Windchill PDMLink
11.0 M030, 11.1 M020, 11.2.1.0, 12.0.2.0, 12.1.2.0, 13.0.2.0, 13.1.0.0, 13.1.1.0, 13.1.2.0, 13.1.3.0.

FlexPLM
11.0 M030, 11.1 M020, 11.2.1.0, 12.0.0.0, 12.0.2.0, 12.0.3.0, 12.1.2.0, 12.1.3.0, 13.0.2.0, 13.0.3.0.

BleepingComputer отдельно отмечает, что, по словам PTC, проблема затрагивает большинство поддерживаемых версий, включая critical patch sets, то есть критические пакетные наборы исправлений. Это важный момент: наличие свежих CPS само по себе в этом случае не считалось достаточной защитой до выхода специального фикса.

PTC и её партнёры советуют действовать не дожидаясь патча. Базовый сценарий такой:

1. немедленно закрыть доступ к уязвимым servlet-путям через Apache или IIS;

2. применить ту же защиту не только к основным серверам, но и к связанным узлам, включая file/replica servers;

3. в первую очередь защитить интернет-доступные инсталляции;

4. если workaround быстро применить нельзя — отключить сервис или отсоединить систему от публичного интернета.

Отдельно в инструкции есть важное уточнение: после применения Apache/IIS workaround не ожидается известных функциональных проблем, то есть вендор не предупреждает о штатной потере функций из-за этой временной меры. 

Несмотря на отсутствие подтверждённых кейсов эксплуатации у клиентов PTC в опубликованной заметке EAC, компания уже дала набор индикаторов компрометации Indicators of Compromise (IoC). Это косвенно показывает, что сценарий атаки прорабатывался очень предметно.

PTC/EAC советуют отслеживать запросы с User-Agent:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/137.0.0.0 Safari/537.36

Также рекомендовано блокировать или как минимум помечать запросы с подозрительными параметрами:

• ?c= — выполнение команды;

• ?p= — чтение файла.

В списке IoC перечислены, в частности:

• GW.class

• payload.bin

• Gen.class

• HTTPRequest.class

• HTTPResponse.class

• IXBCommonStreamer.class

• IXBStreamer.class

• MethodFeedback.class

• MethodResult.class

• WTContextUpdate.class

Также отдельно упоминаются исходники .java с похожими названиями и случайно названные JSP-файлы формата dpr_<8-hex-digits>.jsp. По предупреждению PTC/EAC, наличие GW.class на сервере означает, что атакующий уже прошёл стадию подготовки эксплуатации перед RCE. BleepingComputer отдельно называет эти артефакты возможными web shell.

Heise пишет, что наличие IoC выглядит как признак того, что атаки против Windchill/FlexPLM уже как минимум моделировались или наблюдались на каком-то уровне. Отдельно BleepingComputer и Heise ссылаются на необычно жёсткую реакцию в Германии. По их данным, немецкие власти и правоохранительные структуры предупреждали компании о риске, а Heise говорит о серьёзной обеспокоенности из-за возможной эксплуатации.