PTC Inc. alerte sur une vulnérabilité critique touchant Windchill et FlexPLM, des solutions de gestion du cycle de vie des produits (PLM) largement utilisées, qui pourrait permettre une exécution de code à distance.
Cette faille de sécurité, désignée par la référence CVE-2026-4681, peut être exploitée via la désérialisation de données de confiance. Son niveau de gravité a conduit à des actions urgentes de la part des autorités allemandes. La police fédérale (BKA) a ainsi dépêché des agents auprès d’entreprises touchées pour les alerter sur ce risque en matière de cybersécurité.
Panneau de remédiation en cours
Aucun correctif officiel n’est encore disponible, mais PTC a indiqué qu’il travaille activement à la mise en place de patches de sécurité pour toutes les versions prises en charge de Windchill afin de remédier à cette vulnérabilité. Selon le fournisseur, cette faille affecte la plupart des versions de Windchill et de FlexPLM, y compris tous les sets de patch critiques (CPS).
En attendant que des correctifs soient proposés, il est conseillé aux administrateurs systèmes d’appliquer une règle fournie par le fournisseur pour Apache/IIS afin de bloquer l’accès au chemin servlet concerné. PTC précise que cette mitigation ne compromet pas la fonctionnalité.
Cette même approche doit être adoptée pour toutes les déploiements, y compris ceux de Windchill, FlexPLM et tous les serveurs de fichiers/réplica, au-delà des systèmes accessibles via internet. Cependant, PTC recommande de prioriser cette mitigation sur les instances exposées.
Si la mitigation n’est pas envisageable, la déconnexion temporaire des instances affectées du réseau ou l’arrêt du service sont des mesures recommandées.
Indicateurs de compromission (IoCs)
La société n’a pas encore constaté d’exploitation de cette vulnérabilité contre ses clients. Cependant, PTC a publié un ensemble d’indicateurs de compromission spécifiques (IoCs) comprenant une chaîne d’agent utilisateur et des fichiers.
Le bulletin propose également des conseils de détection, incluant des vérifications pour des webshells tels que GW.class, payload.bin ou dpr_.jsp, et la recherche de requêtes suspectes avec des motifs comme run?p=/ .jsp?c= associées à des activités inhabituelles des agents utilisateurs, ainsi que des erreurs mentionnant GW ou des exceptions inattendues.
Selon PTC, « la présence de GW.class ou de dpr_<8-hex-digits>.jsp sur le serveur Windchill indique que l’attaquant a terminé l’armement du système avant de procéder à l’exécution de code à distance. »
Dans un courriel adressé à ses clients, que BleepingComputer a pu consulter, PTC a également averti qu’il existe des « preuves crédibles d’une menace imminente émanant d’un groupe tiers exploitant cette vulnérabilité. »
Selon des informations rapportées par Heise, des agents du BKA ont été déployés au cours du week-end pour alerter des entreprises à l’échelle nationale, même celles qui n’utilisaient pas les produits concernés. Les témoignages indiquent que le BKA a réveillé des administrateurs systèmes en pleine nuit pour leur transmettre une copie de la notification de PTC, tout en alertant les bureaux d’enquête criminelle des différents états fédéraux.
Cette réaction rapide et inhabituelle des autorités soulève des inquiétudes quant au fait que la vulnérabilité CVE-2026-4681 pourrait être exploitée ou est sur le point de l’être. Compte tenu de l’utilisation des systèmes PLM par des entreprises d’ingénierie dans la conception de systèmes d’armement, la fabrication industrielle et les chaînes d’approvisionnement critiques, la réponse des autorités pourrait se justifier pour des raisons de protection contre l’espionnage industriel et d’autres enjeux de sécurité nationale.