CISA alerta sobre vulnerabilidad crítica en PTC Windchill y ataques web shell
Publicado el
Introducción
La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha incluido recientemente una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a los productos de gestión de datos y ciclo de vida de PTC Windchill en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta decisión se basa en la evidencia de que la vulnerabilidad está siendo activamente explotada por atacantes.
Detalles de la vulnerabilidad
La vulnerabilidad identificada como CVE-2026-12569 tiene una puntuación de 9.3 en la escala CVSS, lo que indica su gravedad. Se trata de un fallo de validación de entrada que puede permitir a un atacante ejecutar código arbitrario al enviar una solicitud maliciosa a la red. Según un aviso emitido por PTC, este problema podría aprovecharse a través de la deserialización de datos no confiables.
A pesar de que PTC lanzó parches para mitigar esta vulnerabilidad la semana pasada, la empresa confirmó el 25 de junio que ha recibido informes continuos de actividad amenazante. Atacantes desconocidos están utilizando esta vulnerabilidad para desplegar shells web JSP en sistemas susceptibles.
Indicadores de compromiso
PTC ha proporcionado varios indicadores de compromiso (IoCs) relacionados con esta actividad, que incluyen: - Direcciones IP: 172.111.38.31, 216.152.148.54, 104.243.35.131, 74.50.76.146, 5.180.41.35 - Patrones de archivos JSP: /Windchill/login/[0-9a-f]{16}.jsp
Medidas de mitigación
Para los usuarios afectados, se aconseja tomar las siguientes acciones inmediatas: - Bloquear la dirección IP 5.180.41.35 en el cortafuegos perimetral. - Buscar en los registros de acceso HTTP cualquier solicitud POST a /Windchill/login/*.jsp. - Escanear el sistema de archivos en busca de archivos JSP que coincidan con el patrón de 16 caracteres hexadecimales. - Verificar la integridad de los archivos JSP sospechosos utilizando hash. - Comprobar la presencia de flst.txt en /tmp o el directorio de trabajo de Windchill, lo que confirmaría actividad de listado de archivos por parte de los atacantes. - Implementar reglas en WAF/IDS que bloqueen cualquier solicitud que contenga el encabezado X-windchill-req y restringir la exposición a Internet del punto de inicio de sesión de Windchill donde sea posible.
Conclusión
Esta inclusión de la vulnerabilidad en el catálogo KEV de la CISA marca la primera vez que un producto de PTC se ve afectado de esta manera, subrayando cómo los actores de amenazas están rápidamente aprovechando las vulnerabilidades recién divulgadas. Las organizaciones deben actuar de inmediato para proteger sus sistemas y evitar compromisos de seguridad adicionales.