Kunden der PLM-Software (Product Lifecycle Management) Windchill des Herstellers PTC sind leidgeprüft: Im vergangenen März rückte die Polizei bei dem Unternehmen an , um eine rasche Aktualisierung des Programms anzumahnen. Das Vorgehen hat sich nun wiederholt – mit nächtlichen Anrufen vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Das hatte von bevorstehenden Angriffen auf eine kritische Sicherheitslücke erfahren. Diese erlaubt die Ausführung von Schadcode übers Netz.
Ein anonymer Hinweisgeber hatte sich am 17. Juni bei uns gemeldet und von nächtlichen Anrufen und frühmorgendlichen E-Mails berichtet. Um 2:30 in der Nacht habe ein BSI-Mitarbeiter im Unternehmen angerufen, von einer neuen Zero-Day-Lücke berichtet und unverzügliche Patches angemahnt. Eine der E-Mails liegt uns vor.
Das BSI warnt darin: „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat aus vertrauenswürdigen und verlässlichen Quellen von bevorstehenden Cyberangriffen auf verwundbare Windchill-Instanzen der Firma "PTC" erfahren. Ihr Unternehmen setzt potentiell [sic!]eine solche verwundbare Windchill-Instanz ein. Aufgrund der hohen potentiellen Gefahr einer Kompromittierung bitten wir Sie dringend um schnellstmögliche Überprüfung des Patchstands Ihrer eingesetzten Software. Laut unseren Informationen soll der am 15.06.2026 veröffentlichte Patch eine abgesicherte Version der Software darstellen.“
Viele heise-investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.
Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.
https://heise.de/investigativ
Ein BSI-Sprecher bestätigte den Vorgang. Man habe unverzüglich nach Erhalt einer entsprechenden Information einer Partnerbehörde aus dem Nationalen IT-Lagezentrum heraus die Alarmierung der Unternehmen gestartet.
Doch welche Rolle spielt das Bundeskriminalamt dieses Mal? Wir erinnern uns: Bei der Warnung zur letzten kritischen Windchill-Lücke im März hatte das BKA federführend gehandelt und die Landeskriminalämter hinzugezogen. Diese informierten betroffene Unternehmen zum Teil selbst, teilweise über örtliche Polizeibehörden. Auf Nachfrage, ob das BKA an der neuerlichen Warnaktion beteiligt war, verwies eine Behördensprecherin uns an das BSI und ließ weitere Fragen zum Vorgang unbeantwortet.
Kritische Sicherheitslücke wird angegriffen
Technische Details zur Sicherheitslücke CVE-2026-12569 sind nun öffentlich. Wie man einem zweizeiligen Hinweis auf GitHub entnehmen kann, handelt es sich um eine unsichere Deserialisierung, die sowohl Windchill PDMlink als auch FlexPLM betrifft. Die Sicherheitslücke befindet sich an einer Stelle, die Angreifer ohne vorherige Anmeldung aus dem Netz erreichen können – damit handelt es sich um einen leicht automatisierbaren Exploit. Das Risiko ist dementsprechend hoch: Nach CVSS 3.1 gibt es eine Höchstwertung von 10.0 Punkten ( kritisch ), die Nachfolgemetrik CVSS 4.0 liegt wie üblich ein wenig darunter (9,3/10, kritisch ). Grund: Ein Exploit betrifft zunächst nur das betroffene Windchill-System, keine nachgelagerten Geräte.
Die EU-Schwachstellendatenbank führt die Sicherheitslücke als EUVD-2026-37831 und hat eine Liste betroffener Versionen von FlexPLM und Windchill PDMLink veröffentlicht:
alle Versionen von 11.0 bis einschließlich M030,
11.1 M020,
11.2.1.0,
12.0.2.0,
12.1.2.0,
13.0.2.0,
13.1.0.0,
13.1.1.0,
13.1.2.0 sowie
13.1.3.0 (nur PDMLink)
PTC hat ebenfalls mittlerweile einen Sicherheitshinweis veröffentlicht. Dieser listet die aktualisierten Versionen wie folgt auf: Windchill 13.1.2.8, 13.1.3.4, 13.0.2.12, 12.1.2.22, 12.0.2.27. Wer eine ältere Version vor 11.0 M030 einsetzt, möge unbedingt darauf achten, die Windchill-Instanz nicht ans Internet anzuschließen. Zusätzliche Hinweise für einen Workaround gibt PTC ebenfalls, vernagelt sie aber hinter einem Login für zahlende Kunden: CS473493 .
Es laufen offenbar bereits Angriffe auf die Deserialisierungslücke, um Backdoors auf verwundbaren Servern zu platzieren. PTC nennt einige Indicators of Compromise (IOC), darunter sechs URLs zu Webshells, eine IP im Netz eines US-amerikanischen Cloudhosters und einen ausschließlich durch Angreifer verwendeten HTTP-Header ( X-windchill-req: ?x8Fmgow ).
Windchill-Admins sollten also ihre Instanzen unverzüglich patchen, wenn dies nach dem nächtlichen Anruf aus Bonn nicht ohnehin bereits passiert ist.
( cku )
Read the full article at heise online →
Germany