Vulnerabilidad crítica en PTC Windchill: alerta de CISA

Ciberseguridad Jun 26, 2026

Introducción

Recientemente, la Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha añadido una grave vulnerabilidad de ejecución remota de código (RCE) en PTC Windchill a su catálogo de vulnerabilidades conocidas explotadas (KEV). Esta situación ha generado preocupación en el ámbito de la ciberseguridad, dado el potencial de explotación activa por atacantes mediante el despliegue de web shells.

¿Qué sucedió?

La vulnerabilidad identificada como CVE-2026-12569 cuenta con un puntaje CVSS de 9.3 y se relaciona con una falla en la validación de entradas. Los atacantes pueden aprovechar esta vulnerabilidad enviando solicitudes maliciosas a la red, lo que permite la ejecución de código arbitrario. A pesar de que PTC lanzó parches para solucionarla, se ha confirmado un aumento en la actividad de amenazas, incluyendo la instalación de web shells JSP en sistemas vulnerables.

Impacto y Riesgo

La explotación de esta vulnerabilidad puede permitir a los atacantes tomar el control total de los sistemas afectados, comprometiendo así la confidencialidad, integridad y disponibilidad de los datos. Esto representa un riesgo significativo para las empresas que utilizan PTC Windchill y pone en jaque la seguridad de su infraestructura operativa.

Recomendaciones

  • Bloquear la IP 5.180.41.35 en el cortafuegos perimetral de inmediato.
  • Buscar en los registros de acceso HTTP cualquier solicitud POST a /Windchill/login/*.jsp.
  • Escanear el sistema de archivos en busca de archivos JSP que coincidan con el patrón de 16 caracteres hexadecimales.
  • Verificar los archivos JSP sospechosos con hash 55a1eb4c2d3da04376df39d7ba832569c6af1a37a0cf2b95f754ac898023a30c.
  • Comprobar la existencia de flst.txt en /tmp o el directorio de trabajo de Windchill, lo cual indica actividad de listado de archivos por parte de atacantes.
  • Implementar reglas en el WAF/IDS para bloquear cualquier solicitud que contenga el encabezado X-windchill-req.
  • Restringir la exposición a Internet del punto de acceso de inicio de sesión de Windchill donde sea operativamente posible.

Conclusión

La situación actual respecto a la vulnerabilidad CVE-2026-12569 resalta la necesidad de mantener una postura defensiva sólida y aplicar las mejores prácticas de seguridad en las organizaciones. La implementación de las recomendaciones adecuadas puede mitigar significativamente el riesgo de explotación.

Tags

enHackeSOC

Recommended for you