La populaire plateforme de gestion du cycle de vie des produits est activement exploitée pour une vulnérabilité RCE qui pourrait mettre en péril la propriété intellectuelle.
Les pirates informatiques exploitent une vulnérabilité critique récemment corrigée dans PTC Windchill et FlexPLM, deux solutions de gestion du cycle de vie des produits utilisées par des organisations dans divers secteurs, notamment la défense, l’aérospatiale, l’automobile, le médical, l’électronique, les machines industrielles et les biens de consommation.
La vulnérabilité, identifiée comme CVE-2026-12569, est une faille de désérialisation dangereuse qui permet l’exécution de code à distance. Il se trouve dans le composant Web de gestion des données produit Windchill PDMLink et est évalué à 9,3 sur l’échelle CVSS.
Les logiciels de gestion du cycle de vie des produits sont essentiels pour les organisations qui fabriquent des produits, car ils leur permettent de suivre un produit depuis sa conception jusqu’à sa mise hors service, notamment en stockant les conceptions CAO, les nomenclatures, les flux de travail, les données d’ingénierie, etc.
PTC a alerté ses clients sur la vulnérabilité et a partagé les instructions d’atténuation le 17 juin. Au cours des deux jours suivants, la société a également publié des correctifs pour les versions Windchill 13.1.1, 13.0.2, 12.1.2, 12.0.2, 11.2.1, 11.1 M020 et 11.0 M030, ainsi que des indicateurs de compromission.
Jeudi, PTC a mis à jour son avis pour avertir ses clients qu’il a reçu des rapports faisant état d’une activité de menace accrue. La mise à jour comprenait de nouveaux indicateurs de compromission suggérant que les attaquants déploient des shells Web (des scripts Web de porte dérobée) sur des instances compromises. Le même jour, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV).
L’exploitation active des logiciels de cycle de vie des produits est rare, mais pas surprenante compte tenu de leur présence dans des secteurs qui attirent les acteurs malveillants, à la fois pour le cyberespionnage et l’extorsion de données. Ces systèmes stockent également des propriétés intellectuelles très sensibles.
En fait, les dommages causés aux organisations pourraient être si graves qu’en mars dernier, la police allemande aurait pris la mesure inhabituelle de contacter en personne les entreprises au milieu de la nuit pour les avertir d’une autre vulnérabilité zero-day dans Windchill qu’elles disposaient d’informations que les attaquants envisageaient d’exploiter.
L’Office fédéral allemand de la sécurité de l’information (BSI) a également alerté les entreprises sur cette nouvelle vulnérabilité, soulignant qu’il disposait d’informations fiables sur des cyberattaques imminentes, a rapporté le groupe de médias Heise.
PTC Windchill a été lancé pour la première fois il y a 28 ans et compte plus de 1,5 million d’utilisateurs dans le monde, notamment des sociétés telles que BMW, Lockheed Martin, Boeing et NVIDIA. PTC FlexPLM est une variante spécialement conçue pour les secteurs de la vente au détail, de la chaussure, de l’habillement et des produits de consommation.
