Windchill & ZeroPLM 0-Day-Lücken und die Polizeieinsätze

Veröffentlicht am 23. März 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)In den Software-Systemen Windchill und ZeroPLM gibt es kritische Schwachstellen (CVS-Index 10.0), die seit dem Wochenende den Unternehmen, die die Produkte einsetzen, bekannt sein sollten. Die Schwachstellen haben diverse Landeskriminalämter veranlasst, die Polizei bei Administratoren vorbei zu schicken, was doch einige Verwunderung auslöste.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Schwachstellen in Windchill & ZeroPLM

Windchill ist wohl eine Software zur Datenverwaltung, die die dynamische Auswertung von Unternehmensdaten ermöglicht. In der PTC Community gibt es einen Post Critical vulnerability CVSS10.0 vom 21. März 2026, der auf kritische Schwachstellen (CVSS 10.0) in den Produkten Windchill und FlexPLM hinweist. Und es gibt die Sicherheitswarnung Notice of Windchill and FlexPLM Critical Vulnerability March 20, 2026, in der die betroffenen Versionen von Windchill sowie PlexPLM benannt sind.

Es handelt sich um eine Schwachstelle zur Remote-Code-Ausführung (RCE), die durch die Deserialisierung nicht vertrauenswürdiger Daten ausgenutzt werden kann. Der CVSS v3.1 Basiswert ist mit 10,0 (kritisch) angegeben. Mit Stand 22. März 2026 heißt es, dass derzeit keine Hinweise auf bestätigte Angriffe vorliegen, von denen PTC-Kunden betroffen sind.

Im Beitrag heißt es, bis offizielle Patches verfügbar sind, müssen Kunden dringend Maßnahmen für alle öffentlich zugänglichen Windchill-System ergreifen, um ihre Umgebungen zu schützen. In der verlinkten Sicherheitswarnung wird beschrieben, wie die Apache-HTTP-Server-Konfiguration für jedes Windchill- oder FlexPLM-System  abgesichert werden sollte.

Meinen Informationen nach hat der Anbieter seine Kunden direkt per E-Mail über die obige Sicherheitsproblematik informiert. Da ich seit Freitag unterwegs war, ist der gesamte Vorgang etwas an mir vorbei gegangen.

Die Landeskriminalämter reagieren am Wochenende

Am Wochenende und am heutigen Montag scheinen die Landeskriminalämter und Polizeibehörden in einigen Bundesländern aktiv geworden zu sein.

Eine Lesermitteilung per E-Mail

Zum heutigen 23. März 2026 erreichte mich um 10:38 Uhr die E-Mail eines Blog-Lesers (danke für den Hinweis, ich war seit Freitag und auch heute im Laufe des Tages unterwegs, konnte daher nicht bzw. mit Verspätung reagieren) mit folgender Information. Der Leser wurde von der Polizei Braunschweig angerufen und vor den Schwachstellen gewarnt. Zudem wurde er von der Polizeidienststelle noch per E-Mail über eine "kritische Sicherheitslücke (CVSS 10.0) in der Software Windchill von der Firma PTC" informiert. Der Text der übermittelten E-Mail findet sich am Beitragsende.

Ein Leserkommentar und Bericht bei heise

Parallel dazu hat Blog-Leser Olli diesen Kommentar hinterlassen (danke dafür) und schrieb "Nebenbei – hier ist seit Samstag Nacht richtig was los" und verlinkte auf den Beitrag .Zero-Day erlaubt Codeausführung in WindChill und FlexPLM bei heise, wo die Informationen aus den oben verlinkten Sicherheitswarnungen des Herstellers zusammen gefasst wurden.

In den Kommentaren findet sich dieser Thread, aus dem hervorgeht, dass die Polizei zum 22. März 2026 wohl gegen 4:00 Uhr morgens Mitarbeiter von Firmen aus dem Bett geklingelt hat, um vor der Schwachstelle zu warnen (es ist nicht der 1. April). Im Thread haben sich mehrere Betroffene gemeldet und eine persönliche Warnung der Polizei berichtet. Was da genau im Hintergrund steht, ist mir derzeit noch unklar.

Eine Zusammenfassung der Polizeiaktion bei heise

heise hat es heute im Artikel WTF: Polizei rückte Samstagnacht wegen Zero-Day aus aufgegriffen, kann aber auch keine Erklärung für die geballte Aktion der Polizeibehörden liefern. Vom BSI / CERT-Bund gibt es lediglich diese Warnmeldung, aber auch keine weiteren Details. Setzt jemand aus der Leserschaft diese Software-Produkte ein?

Inhalt der E-Mail der Polizei

Sehr geehrte Damen und Herren, hallo aus der ZAC Niedersachsen,

hiermit möchten wir Sie darüber informieren, dass in der Software „Windchill" des US-amerikanischem Softwareherstellers PTC Inc. eine kritische Schwachstelle – CVSS 10.0 – höchster Schweregrad des Bewertungssystems für Schwachstellen – besteht.

Wir haben konkrete Erkenntnisse darüber, dass die hier benannte Software in Ihrem Unternehmen tatsächlich eingesetzt wird.

Es ist nach derzeitigen Erkenntnissen davon auszugehen, dass die Schwachstelle in der Software „Windchill" von kriminellen Akteuren zur möglichen Kompromittierung von Systemen, dem Abzug der darauf befindlichen Daten und zur Ausführung von Verschlüsselungssoftware (Ransomware) ausgenutzt werden soll und somit ein Cyberangriff unmittelbar bevorsteht.

Daher wird um eine eigenständige Überprüfung gebeten.

Es ist davon auszugehen, dass die Täter die Schwachstelle noch an diesem Wochenende ausnutzen könnten.

Der Softwarehersteller PTC soll die die betroffenen Unternehmen bereits per E-Mail über etwaigen Support informiert haben, allerdings erfolgt hier angesichts der Dringlichkeit und der bestehenden Vulnerabilität eine darüber hinausgehende Warnung seitens der ZAC Niedersachsen.

Zusammenfassend / Empfohlene Maßnahmen:

„Aktuelle Erkenntnisse deuten darauf hin, dass eine kritische Schwachstelle (CVSS 10.0) in der Software „Windchill" besteht und von kriminellen Akteuren ausgenutzt werden kann. Es wird daher dringend empfohlen, Maßnahmen zur Mitigation zu treffen und zusätzliche Protokollierungsmaßnahmen in Betracht zu ziehen."

Unter folgendem Link werden Maßnahmen zur Mitigation offiziell von dem Hersteller veröffentlicht:

Notice of Windchill and FlexPLM Critical Vulnerability March 20, 2026

Weitere Informationen zu der Schwachstelle und zum technischen Support befinden sich auf der Website des Herstellers:

Critical RCE Vulnerability reported in Windchill

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Kommentare zu Windchill & ZeroPLM 0-Day-Lücken und die Polizeieinsätze

  1. Jens sagt:
    23. März 2026 um 20:53 Uhr

    Wir haben auch am Sonntag morgen um ca. 8 Uhr einen Anruf von der örtlichen Polizei (Bayern) im Auftrag des BKA bekommen.

    Dachten anfangs das ist ein Fake Anruf, da wir kein KRITIS Unternehmen sind und es bis jetzt nie wegen einer Sicherheitslücke einen Anruf von der Polizei gab.

    Gut dass das Windchill System nicht übers Internet erreichbar ist.

    Ich glaub im Titel/Artikel hat sich ein Fehler eingeschlichen: ZeroPLM sollte eigentlich FlexPLM heißen

    Antworten
    • Froschkönig sagt:
      23. März 2026 um 21:28 Uhr

      "Gut dass das Windchill System nicht übers Internet erreichbar ist."

      Interessant, dass das BKA trotzdem weiß, dass ihr diese Software betreibt.

      Insgesamt finde ich es sehr ungewöhnlich, dass das BKA über die Polizei die Nutzer von anfälliger Software (telefonisch oder vielleicht sogar vor Ort) kontaktiert. Wäre das nicht eigentlich Aufgabe des BSI? Sollte nicht der Hersteller seine Kunden warnen? Kommt die Polizei in Zukunft ab CVSS-Score 9.x bei jeder Softwarelücke vorbei?

      Antworten
  2. Luzifer sagt:
    23. März 2026 um 22:00 Uhr

    Naja bei "Terrorabwehr" ist die Polizei eben Erfüllunggehilfe… und derr Krieg wütet eben nicht nur in derr realen Welt. Wenn über den großen Teich eben von den 3 Bustaben Diensten Warnungen kommen reagiert man in Krisenzeiten ;-P

    Antworten

Antworte auf den Kommentar von Jens Antwort abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.