In den Software-Systemen Windchill und FlexPLM gibt es kritische Schwachstellen (CVS-Index 10.0), die seit dem Wochenende den Unternehmen, die die Produkte einsetzen, bekannt sein sollten. Die Schwachstellen haben diverse Landeskriminalämter veranlasst, die Polizei bei Administratoren vorbei zu schicken, was doch einige Verwunderung auslöste.
Schwachstellen in Windchill & FlexPLM
Windchill ist wohl eine Software zur Datenverwaltung, die die dynamische Auswertung von Unternehmensdaten ermöglicht. In der PTC Community gibt es einen Post Critical vulnerability CVSS10.0 vom 21. März 2026, der auf kritische Schwachstellen (CVSS 10.0) in den Produkten Windchill und FlexPLM hinweist. Und es gibt die Sicherheitswarnung Notice of Windchill and FlexPLM Critical Vulnerability March 20, 2026, in der die betroffenen Versionen von Windchill sowie PlexPLM benannt sind.
Es handelt sich um eine Schwachstelle zur Remote-Code-Ausführung (RCE), die durch die Deserialisierung nicht vertrauenswürdiger Daten ausgenutzt werden kann. Der CVSS v3.1 Basiswert ist mit 10,0 (kritisch) angegeben. Mit Stand 22. März 2026 heißt es, dass derzeit keine Hinweise auf bestätigte Angriffe vorliegen, von denen PTC-Kunden betroffen sind.
Im Beitrag heißt es, bis offizielle Patches verfügbar sind, müssen Kunden dringend Maßnahmen für alle öffentlich zugänglichen Windchill-System ergreifen, um ihre Umgebungen zu schützen. In der verlinkten Sicherheitswarnung wird beschrieben, wie die Apache-HTTP-Server-Konfiguration für jedes Windchill- oder FlexPLM-System abgesichert werden sollte.
Meinen Informationen nach hat der Anbieter seine Kunden direkt per E-Mail über die obige Sicherheitsproblematik informiert. Da ich seit Freitag unterwegs war, ist der gesamte Vorgang etwas an mir vorbei gegangen.
Die Landeskriminalämter reagieren am Wochenende
Am Wochenende und am heutigen Montag scheinen die Landeskriminalämter und Polizeibehörden in einigen Bundesländern aktiv geworden zu sein.
Eine Lesermitteilung per E-Mail
Zum heutigen 23. März 2026 erreichte mich um 10:38 Uhr die E-Mail eines Blog-Lesers (danke für den Hinweis, ich war seit Freitag und auch heute im Laufe des Tages unterwegs, konnte daher nicht bzw. mit Verspätung reagieren) mit folgender Information. Der Leser wurde von der Polizei Braunschweig angerufen und vor den Schwachstellen gewarnt. Zudem wurde er von der Polizeidienststelle noch per E-Mail über eine "kritische Sicherheitslücke (CVSS 10.0) in der Software Windchill von der Firma PTC" informiert. Der Text der übermittelten E-Mail findet sich am Beitragsende.
Ein Leserkommentar und Bericht bei heise
Parallel dazu hat Blog-Leser Olli diesen Kommentar hinterlassen (danke dafür) und schrieb "Nebenbei – hier ist seit Samstag Nacht richtig was los" und verlinkte auf den Beitrag .Zero-Day erlaubt Codeausführung in WindChill und FlexPLM bei heise, wo die Informationen aus den oben verlinkten Sicherheitswarnungen des Herstellers zusammen gefasst wurden.
In den Kommentaren findet sich dieser Thread, aus dem hervorgeht, dass die Polizei zum 22. März 2026 wohl gegen 4:00 Uhr morgens Mitarbeiter von Firmen aus dem Bett geklingelt hat, um vor der Schwachstelle zu warnen (es ist nicht der 1. April). Im Thread haben sich mehrere Betroffene gemeldet und eine persönliche Warnung der Polizei berichtet. Was da genau im Hintergrund steht, ist mir derzeit noch unklar.
Eine Zusammenfassung der Polizeiaktion bei heise
heise hat es heute im Artikel WTF: Polizei rückte Samstagnacht wegen Zero-Day aus aufgegriffen, kann aber auch keine Erklärung für die geballte Aktion der Polizeibehörden liefern. Vom BSI / CERT-Bund gibt es lediglich diese Warnmeldung, aber auch keine weiteren Details. Setzt jemand aus der Leserschaft diese Software-Produkte ein?
Inhalt der E-Mail der Polizei
Sehr geehrte Damen und Herren, hallo aus der ZAC Niedersachsen,
hiermit möchten wir Sie darüber informieren, dass in der Software „Windchill" des US-amerikanischem Softwareherstellers PTC Inc. eine kritische Schwachstelle – CVSS 10.0 – höchster Schweregrad des Bewertungssystems für Schwachstellen – besteht.
Wir haben konkrete Erkenntnisse darüber, dass die hier benannte Software in Ihrem Unternehmen tatsächlich eingesetzt wird.
Es ist nach derzeitigen Erkenntnissen davon auszugehen, dass die Schwachstelle in der Software „Windchill" von kriminellen Akteuren zur möglichen Kompromittierung von Systemen, dem Abzug der darauf befindlichen Daten und zur Ausführung von Verschlüsselungssoftware (Ransomware) ausgenutzt werden soll und somit ein Cyberangriff unmittelbar bevorsteht.
Daher wird um eine eigenständige Überprüfung gebeten.
Es ist davon auszugehen, dass die Täter die Schwachstelle noch an diesem Wochenende ausnutzen könnten.
Der Softwarehersteller PTC soll die die betroffenen Unternehmen bereits per E-Mail über etwaigen Support informiert haben, allerdings erfolgt hier angesichts der Dringlichkeit und der bestehenden Vulnerabilität eine darüber hinausgehende Warnung seitens der ZAC Niedersachsen.
Zusammenfassend / Empfohlene Maßnahmen:
„Aktuelle Erkenntnisse deuten darauf hin, dass eine kritische Schwachstelle (CVSS 10.0) in der Software „Windchill" besteht und von kriminellen Akteuren ausgenutzt werden kann. Es wird daher dringend empfohlen, Maßnahmen zur Mitigation zu treffen und zusätzliche Protokollierungsmaßnahmen in Betracht zu ziehen."
Unter folgendem Link werden Maßnahmen zur Mitigation offiziell von dem Hersteller veröffentlicht:
Notice of Windchill and FlexPLM Critical Vulnerability March 20, 2026
Weitere Informationen zu der Schwachstelle und zum technischen Support befinden sich auf der Website des Herstellers:
MVP: 2013 – 2016
Wir haben auch am Sonntag morgen um ca. 8 Uhr einen Anruf von der örtlichen Polizei (Bayern) im Auftrag des BKA bekommen.
Dachten anfangs das ist ein Fake Anruf, da wir kein KRITIS Unternehmen sind und es bis jetzt nie wegen einer Sicherheitslücke einen Anruf von der Polizei gab.
Gut dass das Windchill System nicht übers Internet erreichbar ist.
Ich glaub im Titel/Artikel hat sich ein Fehler eingeschlichen: ZeroPLM sollte eigentlich FlexPLM heißen
"Gut dass das Windchill System nicht übers Internet erreichbar ist."
Interessant, dass das BKA trotzdem weiß, dass ihr diese Software betreibt.
Insgesamt finde ich es sehr ungewöhnlich, dass das BKA über die Polizei die Nutzer von anfälliger Software (telefonisch oder vielleicht sogar vor Ort) kontaktiert. Wäre das nicht eigentlich Aufgabe des BSI? Sollte nicht der Hersteller seine Kunden warnen? Kommt die Polizei in Zukunft ab CVSS-Score 9.x bei jeder Softwarelücke vorbei?
Die Kundenliste (Lizenzen) kam direkt von PTC, die wurde auch an das BKA weitergegeben.
Ist das nicht ein strafbewehrter Brachialverstoss gegen die DSGVO?
Es wird immer abenteuerlicher.
PS:
Kundenliste gut und schön, aber woher kennen die den zuständigen Admin und seine Telefonummer?
Naja bei "Terrorabwehr" ist die Polizei eben Erfüllunggehilfe… und derr Krieg wütet eben nicht nur in derr realen Welt. Wenn über den großen Teich eben von den 3 Bustaben Diensten Warnungen kommen reagiert man in Krisenzeiten ;-P
Ist aber eine lange Mail von dieser Sicherheitsbehörde. Die Mail die mir – via GF – vorliegt ist viel kürzer. Enthält zwei Links zu PTC und eine Telefonnummer zum BKA mit dem Hinweis bitte umgehend dort anzurufen. Die Mail kam als Nachgang zu einem Anruf vom örtlichen KDD gegen 2 Uhr nachts. GF war da noch wach, hat es aber für einen Betrugsversuch gehalten. Wie ich selbst auch im ersten Moment. Ein Anruf beim BKA über deren Zentrale (also nicht die Rufnummer die wir erhalten haben) brachte dann schnell Licht ins Dunkel.
Ob man das so machen muss wie es gemacht wurde, kann man zur Diskussion stellen. Die für mich spannende Frage lautet: Wie ist beim BKA die Liste erstellt worden, wer angerufen werden soll? Denn diese Software war uns bis zum Anruf von der Polizei komplett unbekannt. Wir sind auch nicht einem Bereich tätig der irgendwie irgendetwas mit diesem Bereich zu tun hätte wo man PLM Tools benutzt.
Scheinen derzeit alle sehr Nervös zu sein?
Da muss die ***** gewaltig kurz vor dem Dampfen gewesen sein. Das BKA scheint wohl zu wissen welche Unternehmen welche Software einsetzen.
Nein das BKA weiß nicht wer diese Software benutzt. Daher lautet die Frage: Wie hat das BKA die Liste zusammengestellt? Alles was ich bislang dazu gelesen habe ist nicht schlüssig. Denn ich hätte nicht betroffen sein dürfen und bin es aber…
Namens doublette?
Betrügerische Vertriebler die irgendwie Kunden generiert haben?
Ggf. Namens Doublette – ja – Aber darf so ein Fehler dem BKA passieren? Das wäre auch die einzige Erklärung die Sinn macht. Aber das einzige Unternehmen das man mit uns verwechseln könnte sitzt in England und die Branche ist einfach zu radikal unterschiedlich…
Moin,
Frage 1
wofür werden die genannten Lösungen genutzt?
Siend die Informationen in dee Lösungen so heikel, dass gewarnt wurde?
oder
Frage 2
Ging es „nur" darum das diese Lösungen als Angriffsvektor genutzt werden können und Unternehmen auf dem Silbertablett präsentieren wenn von aussen erreixhbar?
Gruß
Interessant. Hat vielleicht Stryker diese Software ebenfalls eingesetzt?
Die sind doch direkt über Intune zerschossen worden oder habe ich da was verpasst?
In meinem Unternehmen wurde auch der Geschäftsführer Sonntags von der lokalen Polizeidienststelle kontaktiert. Wir setzen auch die Software tatsächlich ein. Am Montag rief noch eine Frau vom BKA an.
Schon eine sehr absurde Situation – die Mitarbeiter dachten an einen Scam und haben auch entsprechend gehandelt und keine Informationen rausgegeben (gute Reaktion!).
Ich frage mich noch woher sie wussten das wir ein Kunde sind?
CVE-2026-4681
'*ttps://nvd.nist.gov/vuln/detail/CVE-2026-4681
Angriff über "Java Deserialization" erklärt:
*ttps://snyk.io/de/blog/serialization-and-deserialization-in-java/
*ttps://www.geeksforgeeks.org/java/serialization-and-deserialization-in-java/
Mittels "Code Injection" eines Byte-Streams kann man ein gefälschtes Objekt mit echten Daten füllen lassen ("reflection"), ohne dass dabei eine Construktor-Methode ausgeführt wird, also ohne die im Construktor enthaltenen Validierungen durchlaufen zu müssen.
Es ist also nicht nur eine RCE Angriff, sondern man kann auch Daten klauen und manipulieren.
FlexPLM ist ein Product Lifecycle Management (PLM), also könnte man eventuell durch gezielte Objektmanipulation auch nachträglich Schwachstellen in Hardware-Produkte einbauen, die man vermutlich erst entdecken würde, wenn es schon zu spät ist.
Bei Rüstungsindustrie wäre sowas ein enormer Vorteil für einen militärischen Angreifer.
Betroffene Produkte: Windchill, FlexPLM -> nicht ZeroPLM, korrekt ist FlexPLM.
Maßnahmen zur Minderung des Risikos:
Apache-HTTP-Server-Konfiguration: Kunden müssen dringend die Apache-HTTP-Server-Konfiguration für Windchill- und FlexPLM-Systeme anpassen, indem sie die Endpunkte /servlet/WindchillGW und /servlet/WindchillAuthGW mit LocationMatch absichern.
IOC-Scans: Administratoren sollten nach Indikatoren von Angriffen (IOCs) suchen, darunter die Datei GW.class (SHA-256: C818011CAFF82272F8CC50B670304748984350485383EBAD5206D507A4B44FF1) und payload.bin.
Logüberwachung: Besondere Aufmerksamkeit gilt dem verdächtigen User-Agent-Header, der in der Sicherheitswarnung genannt wird.
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2026-0822
Wird der Polizeieinsatz PTC eigentlich in Rechnung gestellt? Das wäre doch mal eine Presseanfrage wert. Ich sehe nicht ein, daß mein Steuergelder für die Warnung vor ranziger Software von PTC verplempert wird.
Du wirst keine Software finden, die niemals Sicherheitslücken aufweisen wird. Deshalb ist sie nicht "ranzig". Eine Firma dafür zu bestrafen wäre absurd, solange keine Fahrlässikeit vorliegt. Eine andere Möglichkeit wäre natürlich gewesen, dass PTC dringlich auf die Beseitigung dieser Sicherheitslücke hinweist. Das hätte dann aber sicherlich nicht dazu geführt, dass jede Firma das ernst nimmt und sofort patcht. Ich würde das hier eher als "Steuergelder für die militärische Verteidigung" sehen.