CISA inclui falhas críticas em PTC Windchill e Cisco Unified CM no catálogo de exploração ativa
Agência americana adicionou em 25 de junho a CVE-2026-12569 no Windchill (CVSS 10.0) e a CVE-2026-20230 no Cisco UCM, ambas com webshells observadas em produção e prazo de remediação para 16 de julho.
A Cybersecurity and Infrastructure Security Agency dos Estados Unidos incluiu nesta quinta-feira, 25 de junho, duas vulnerabilidades já em exploração ativa no Known Exploited Vulnerabilities Catalog. Uma atinge o PTC Windchill, plataforma de gestão de ciclo de vida de produto usada na maioria dos fabricantes de aeronaves e veículos do mundo. A outra atinge o Cisco Unified Communications Manager, central de telefonia IP corporativa que opera dentro de bancos, redes de varejo e operações de saúde em vinte países.
A CVE-2026-12569 recebeu CVSS 10.0, o teto da escala. É uma falha de execução remota de código no Windchill PDMLink derivada de validação imprópria de entrada e desserialização insegura de dados. O BSI alemão classificou a vulnerabilidade como crítica e foi ao ponto de telefonar para administradores responsáveis pelos sistemas durante a madrugada para acelerar a aplicação dos patches. A PTC confirmou observação ativa de instalação de webshells JSP persistentes no diretório de login do Windchill, com execução remota de comandos e exfiltração potencial de dados.
A CVE-2026-20230, server-side request forgery no Cisco Unified Communications Manager e na variante Session Management Edition, recebeu CVSS 8.6 e classificação interna da Cisco de severidade crítica. A exploração não exige autenticação, depende apenas do serviço WebDialer estar habilitado, e permite escrever arquivos no sistema operacional subjacente para escalar privilégio até root. A Cisco publicou o boletim em 3 de junho. Pesquisadores observaram tentativas em 22 de junho e múltiplas casas reportaram exploração massiva em 23 de junho. A inclusão no KEV obriga agências federais civis americanas a aplicar correção em até 21 dias, com prazo em 16 de julho.
O que se sabe e o que ainda não
Nenhuma das casas que reportou exploração na semana passada nomeou uma vítima específica ou um grupo de ameaça atribuído. A Horizon3.ai publicou prova de conceito completa para a CVE-2026-20230, com cadeia até root, o que aumenta o número de atacantes oportunistas em campo nas próximas 72 horas. Para a PTC Windchill, há indicador específico para procura nos logs: requisições POST para /Windchill/login/ com header customizado X-windchill-req, que não tem uso legítimo no produto, segundo a fabricante.
A classificação CISA não confirma comprometimento em massa. Confirma que a agência tem evidência crível de exploração ativa por pelo menos um ator e que o risco para o setor público federal justifica o prazo de 21 dias. Para o setor privado, o KEV não cria obrigação legal direta, mas é usado por seguradoras cibernéticas, auditorias SOX e contratos com fornecedores federais como gatilho de patch compulsório.
Onde o impacto realmente recai
No setor industrial, o Windchill é a plataforma central de PLM em montadoras como Honda, Volvo, Stellantis e Lockheed Martin, além de cadeia de fornecedores aeroespaciais na Alemanha e na França. Um RCE crítico no servidor de PLM expõe BOM completa, desenhos CAD e dados de qualificação de fornecedores. Para um CISO de fabricante automotivo, a janela de 21 dias é confortável apenas se o ambiente já estiver em versão 12.1.2 ou 12.0.2 com patch atual aplicado, o que segundo a PTC ainda não é o caso em parte expressiva da base.
Nos Estados Unidos e no Reino Unido, onde Cisco UCM domina telefonia corporativa em bancos, escritórios de advocacia e hospitais, a SSRF abre caminho para abuso de discagem automática e potencial pivot de rede. Equipas que tinham desligado o WebDialer por padrão, geralmente em ambientes regulados pelo PCI DSS, têm exposição muito menor. Na Índia, onde grandes contas de UCM rodam em operações de BPO de Genpact, WNS e EXL, a vulnerabilidade chega a sistemas que processam telefonia ao consumidor americano e europeu, e cria risco regulatório indireto via contrato com cliente final.
Próximas 72 horas
A Cisco e a PTC publicaram patches. A PTC liberou correção para Windchill 12.1.2 e 12.0.2. A Cisco recomenda atualização para Unified CM 14SU6 ou 15SU5, ou desativação do WebDialer onde não houver uso de negócio. A Cisco e a PTC não responderam até o fechamento desta matéria sobre o número estimado de servidores expostos a internet pública. Shodan mostrava na manhã de 26 de junho cerca de 3.400 instâncias Windchill alcançáveis publicamente e mais de 12 mil servidores Cisco UCM com painel de administração exposto, o que indica a dimensão real do trabalho de remediação no setor privado.
O próximo marco é a primeira atribuição. Se Mandiant ou a Microsoft Threat Intelligence atribuírem qualquer das duas explorações a grupo APT estatal, o regime CVSS deixa de ser o eixo de prioridade e passa a contar quem está no alvo.