CISA fügt kritische Schwachstellen in PTC Windchill und Cisco Unified CM zum Katalog der aktiven Ausnutzung hinzu

Die Cybersecurity and Infrastructure Security Agency (CISA) der Vereinigten Staaten hat am Donnerstag, dem 25. Juni, zwei Schwachstellen im Known Exploited Vulnerabilities Catalog aufgenommen, die bereits aktiv ausgenutzt werden. Eine betrifft PTC Windchill, eine Produktlebenszyklus-Management-Plattform, die von den meisten Flugzeug- und Fahrzeugherstellern weltweit eingesetzt wird. Die andere betrifft den Cisco Unified Communications Manager, ein IP-Telefoniesystem, das in Banken, Einzelhandelsnetzen und im Gesundheitswesen in zwanzig Ländern betrieben wird.

Die CVE-2026-12569 erhielt einen CVSS-Wert von 10.0, dem Höchstwert auf der Skala. Es handelt sich um eine kritische Schwachstelle zur Remote-Code-Ausführung in Windchill PDMLink, die auf unsachgemäße Eingangsvalidierung und unsichere Datenserialisierung zurückzuführen ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland hat die Schwachstelle als kritisch eingestuft und hat die verantwortlichen Systemadministratoren in der Nacht angerufen, um die Anwendung der Patches zu beschleunigen. PTC bestätigte die aktive Beobachtung persistenter JSP-Webshell-Installationen im Anmeldedirectory von Windchill, die eine Remote-Befehlsausführung und potenzielle Datenexfiltration ermöglichen.

Die CVE-2026-20230, server-side request forgery (SSRF) im Cisco Unified Communications Manager und in der Variante Session Management Edition, erhielt einen CVSS-Wert von 8.6 und wurde intern von Cisco als kritisch eingestuft. Die Ausnutzung erfordert keine Authentifizierung, hängt lediglich vom aktivierten WebDialer-Dienst ab und ermöglicht das Schreiben von Dateien im darunterliegenden Betriebssystem zur Eskalation der Berechtigung bis hin zu Root. Cisco veröffentlichte das Bulletin am 3. Juni. Forscher beobachteten am 22. Juni Ausnutzungsversuche, und mehrere Unternehmen berichteten am 23. Juni von massiven Ausnutzungen. Die Aufnahme in den KEV zwingt US-amerikanische Bundesbehörden, innerhalb von bis zu 21 Tagen Korrekturen anzuwenden, mit einer Frist bis zum 16. Juli.

Was bekannt ist und was noch nicht

Keines der Unternehmen, das in der vergangenen Woche über die Ausnutzung berichtete, nannte ein spezifisches Opfer oder eine zugeordnete Bedrohungsgruppe. Horizon3.ai veröffentlichte einen vollständigen Proof of Concept für die CVE-2026-20230, mit einer Kette bis zu Root, was die Anzahl der opportunistischen Angreifer in den nächsten 72 Stunden erhöht. Für PTC Windchill gibt es spezifische Indikatoren zur Suche in den Protokollen: POST-Anfragen an /Windchill/login/ mit dem benutzerdefinierten Header X-windchill-req, der laut Hersteller keine legitime Verwendung im Produkt hat.

Die Einstufung durch die CISA bestätigt kein massenhaftes Kompromittieren. Sie bestätigt, dass die Behörde glaubwürdige Beweise für eine aktive Ausnutzung durch mindestens einen Akteur hat und dass das Risiko für den öffentlichen Sektor die Frist von 21 Tagen rechtfertigt. Für den privaten Sektor schafft der KEV jedoch keine direkte rechtliche Verpflichtung, wird jedoch von Cyber-Versicherern, SOX-Prüfungen und Verträgen mit Bundesanbietern als Auslöser für eine verpflichtende Patch-Anwendung verwendet.

Wo der Einfluss tatsächlich liegt

Im Industriesektor ist Windchill die zentrale PLM-Plattform in Automobilherstellern wie Honda, Volvo, Stellantis und Lockheed Martin sowie in der Lieferkette der Luft- und Raumfahrtindustrie in Deutschland und Frankreich. Eine kritische RCE im PLM-Server exponiert vollständige Stücklisten (BOM), CAD-Zeichnungen und Daten zur Qualifikation von Lieferanten. Für einen CISO eines Automobilherstellers ist das 21-tägige Zeitfenster nur dann komfortabel, wenn die Umgebung bereits auf Version 12.1.2 oder 12.0.2 mit angewendetem Patch aktualisiert wurde, was laut PTC noch nicht der Fall ist in einem erheblichen Teil der Basis.

In den Vereinigten Staaten und im Vereinigten Königreich, wo Cisco UCM die Unternehmenskommunikation in Banken, Anwaltskanzleien und Krankenhäusern dominiert, eröffnet die SSRF Möglichkeiten für den Missbrauch der automatischen Wählfunktion und potenziellen Netzwerkpivot. Teams, die den WebDialer standardmäßig deaktiviert hatten, üblicherweise in von PCI DSS regulierten Umgebungen, haben eine deutlich geringere Exposition. In Indien, wo große UCM-Konten in BPO-Betrieben von Genpact, WNS und EXL betrieben werden, gelangt die Schwachstelle zu Systemen, die Telefoniedienste für amerikanische und europäische Verbraucher verarbeiten, und schafft indirektes regulatorisches Risiko über Kundenverträge.

Nächste 72 Stunden

Cisco und PTC haben Patches veröffentlicht. PTC hat Korrekturen für Windchill 12.1.2 und 12.0.2 bereitgestellt. Cisco empfiehlt ein Upgrade auf Unified CM 14SU6 oder 15SU5 oder die Deaktivierung des WebDialer, wo dies geschäftlich nicht erforderlich ist. Cisco und PTC hatten bis zum Abschluss dieses Artikels nicht auf die Schätzung der Anzahl exponierter Server im öffentlichen Internet geantwortet. Shodan zeigte am Morgen des 26. Juni etwa 3.400 öffentlich erreichbare Windchill-Instanzen und mehr als 12.000 Cisco UCM-Server mit offenem Administrationspanel, was das tatsächliche Ausmaß der Remediationsarbeiten im privaten Sektor widerspiegelt.

Der nächste Meilenstein ist die erste Zuweisung. Sollten Mandiant oder die Microsoft Threat Intelligence eine der beiden Ausnutzungen einer staatlichen APT-Gruppe zuweisen, würde die CVSS-Klassifizierung nicht mehr die Prioritätsachse darstellen und es würde gezählt, wer im Ziel ist.