Cisco Unified CM und PTC Windchill unter aktiver Ausnutzung: CISA schließt heute Frist für die bundesweite Behebung ab
CVE-2026-20230 im Cisco Unified Communications Manager und CVE-2026-12569 im PTC Windchill erreichen am Montag die Frist der CISA mit bestätigter aktiver Ausnutzung. Die Schwachstelle von Cisco öffnet den Zugang bis zum Root; die von Windchill installiert Webshells auf globalen PLM-Plattformen.
Zwei kritische Schwachstellen laufen heute ab der von der US Cybersecurity and Infrastructure Security Agency (CISA) festgelegten Behebungsfrist für US-Bundesbehörden ab. CVE-2026-20230, eine Schwachstelle für serverseitige Anfragenfälschung (SSRF) im Cisco Unified Communications Manager (UCM) und in seiner Variante für Sitzungsmanagement (UCM SME), sowie CVE-2026-12569, eine Schwachstelle zur Remote-Codeausführung im PTC Windchill PDMLink und FlexPLM, wurden am 25. Juni in das Katalog der bekannten, aktiven Schwachstellen (KEV) der CISA aufgenommen, mit einer Frist von drei Tagen gemäß der verbindlichen operativen Richtlinie 26-04. Beide werden seit mindestens dem Wochenende vom 21. und 22. Juni aktiv ausgenutzt, wie das Sicherheitsunternehmen Defused berichtet.
CVE-2026-20230: SSRF im Cisco UCM, der den Weg bis zum Root öffnet
Die Schwachstelle resultiert aus unzureichender Validierung von HTTP-Eingaben im UCM. Ein nicht authentifizierter Angreifer kann speziell konstruierte Anfragen senden, um beliebige Dateien im zugrunde liegenden Betriebssystem zu schreiben, was einen Zugang zur Eskalation von Privilegien bis zum Root ermöglicht. Cisco hat der Schwachstelle einen CVSS-Score von 8.6 und eine kritische Schweregradzuweisung, laut Berichten von BleepingComputer und The Hacker News vom 27. Juni, zugewiesen. Das Unternehmen stellte am 3. Juni Patches zur Verfügung, jedoch wurde die aktive Ausnutzung in Angriffen von einer einzigen IP-Adresse aus gemeldet, bei denen Payloads des Protokolls file:// verwendet wurden, um Testdateien auf den Zielgeräten zu erstellen, was auf eine großangelegte Erkennung vor einer aggressiveren Ausnutzungsphase hindeutet.
Der Angriffvektor erfordert, dass der WebDialer-Dienst des UCM aktiviert ist. Der WebDialer ist standardmäßig deaktiviert, wird jedoch routinemäßig in Umgebungen aktiviert, die den UCM mit Contact-Center-Systemen, CRM-Plattformen und Lösungen für unified Communications in Krankenhäusern, Bankzentralen und kritischer Infrastruktur integrieren. Der Cisco UCM dient als zentrale Plattform für Sprach- und Videokommunikation in Zehntausenden von Organisationen weltweit, einschließlich systemrelevanter Finanzinstitute in den USA und Europa.
CVE-2026-12569: erste PTC-Schwachstelle im KEV, Webshells in der industriellen PLM
CVE-2026-12569 betrifft Windchill PDMLink und FlexPLM, weit verbreitete Produktlebenszyklus-Management (PLM)-Plattformen von PTC, die in der Fertigungsindustrie eingesetzt werden. Die Schwachstelle, mit einem CVSS-Score von 9.3 laut mehreren Sicherheitsberichten, die am 26. und 27. Juni veröffentlicht wurden, wird durch unsichere Deserialisierung von nicht vertrauenswürdigen Daten verursacht und ermöglicht die Remote-Codeausführung ohne Authentifizierung über eine einzige bösartige HTTP-Anfrage. PTC gab am 25. Juni bekannt, dass "kontinuierliche Berichte über eine zunehmende Bedrohungsaktivität" eingegangen seien, wobei Angreifer JSP-Webshells implantierten, die die Remote-Ausführung von Befehlen und die Exfiltration von Daten ermöglichen. Dies ist die erste PTC-Produkt-Schwachstelle, die jemals zum KEV der CISA hinzugefügt wurde.
Die Bundesbehörde für Sicherheit in der Informationstechnik (BSI) in Deutschland hat zusammen mit der CISA eine Warnung zu CVE-2026-12569 herausgegeben, ein ungewöhnlicher Schritt, der auf die Ausweitung der Exposition außerhalb der USA hinweist. Patches sind seit dem 17. Juni für die Windchill-Versionen 12.1.2 und 12.0.2 verfügbar.
Industrielles Risiko über amerikanische Grenzen hinaus
PTC Windchill ist das PLM-System der Wahl in Automotive- und Aerospace-Anlagen in Europa und Asien. In Deutschland beherbergt die Automobilindustrie einen Großteil der Windchill-Installationen: Komponentenlieferanten und Hersteller, die technische Spezifikationen, Stücklisten und Produktdesigns über Windchill PDMLink verwalten, sind am stärksten der CVE-2026-12569 ausgesetzt, wegen des Werts industrieller Intelligenz der gespeicherten Daten. Die gemeinsame CISA-BSI-Warnung spiegelt die Einschätzung wider, dass die aktive Ausnutzung in den USA bereits auf Ingenieurinfrastruktur außerhalb des Landes hinweist. In Japan sind Hersteller von schweren Maschinen und Automobilteilen, die Windchill in ihrem Unternehmensnetzwerk betreiben, einem ähnlichen Risiko ausgesetzt, ohne eine bundesweite Frist, die eine sofortige Handlung erzwingt.
Für erfolgreich installierte JSP-Webshells geht das Risiko über die Exfiltration von Daten hinaus: Es besteht die Gefahr einer dauerhaften Zugangsmöglichkeit zu Systemen, die geistiges Eigentum im Engineering enthalten, dessen wettbewerblicher und strategischer Wert weit über einen herkömmlichen Datenvorfall hinausgeht.
Minderung vor dem vollständigen Patch
Für den Cisco UCM wird empfohlen, den WebDialer-Dienst zu deaktivieren, um den primären Angriffvektor zu beseitigen, solange der Patch noch nicht angewendet wurde. Für PTC Windchill empfiehlt PTC die sofortige Anwendung der Patches für die Versionen 12.1.2 und 12.0.2 und als interimistische Maßnahme den Netzwerkzugang zum PDMLink mittels Firewall einzuschränken und Logs nach JSP-Webshells zu durchsuchen. Die CISA hat Erkennungssignaturen für beide Angriffvektoren bereitgestellt. Die Überprüfung der Zugriffsprotokolle von Windchill sollte für IT- und OT-Sicherheitsteams, die das System betreiben, höchste Priorität haben, unabhängig von der US-amerikanischen bundesweiten Frist.