Perusahaan perangkat lunak PTC Inc. mengeluarkan peringatan darurat mengenai kerentanan kritis pada Windchill dan FlexPLM—solusi Manajemen Siklus Hidup Produk (PLM) yang banyak digunakan oleh berbagai sektor industri. Kerentanan ini sangat berbahaya karena memungkinkan peretas untuk melakukan Eksekusi Kode Jarak Jauh (RCE).
Masalah keamanan yang diidentifikasi sebagai CVE-2026-4681 ini dapat dieksploitasi melalui teknik deserialisasi data tepercaya. Tingkat keparahan bug ini bahkan telah memicu tindakan darurat dari otoritas Jerman, di mana kepolisian federal (BKA) dilaporkan turun tangan secara langsung untuk memperingatkan perusahaan-perusahaan yang berisiko.
Perbaikan Masih Dikembangkan, Mitigasi Tersedia
Saat ini belum ada patch (tambalan keamanan) resmi yang tersedia. Namun, PTC menyatakan bahwa mereka tengah “secara aktif mengembangkan dan merilis patch keamanan untuk semua versi Windchill yang didukung”. Berdasarkan laporan vendor, kerentanan ini berdampak pada sebagian besar versi Windchill dan FlexPLM, termasuk semua versi pembaruan Critical Patch Sets (CPS).
Sambil menunggu rilisnya patch resmi, administrator sistem sangat disarankan untuk menerapkan aturan Apache/IIS yang disediakan oleh PTC guna menolak akses ke jalur servlet yang rentan. PTC memastikan bahwa langkah mitigasi sementara ini aman dan tidak akan merusak fungsionalitas sistem.
Langkah mitigasi ini harus diterapkan di seluruh penyebaran infrastruktur secara menyeluruh, mencakup Windchill, FlexPLM, serta server replika atau fail apa pun—bukan hanya pada sistem yang terhubung langsung ke internet publik. Meski demikian, penanganan pada instans yang menghadap ke internet (publik) tetap harus menjadi prioritas utama. Jika mitigasi teknis tidak memungkinkan, vendor menyarankan perusahaan untuk segera memutuskan koneksi instans yang rentan dari internet atau mematikan layanannya secara total untuk sementara waktu.
Indikator Kompromi (IoC) dan Respons Mengejutkan Otoritas
Meskipun PTC mengklaim belum menemukan bukti nyata adanya eksploitasi kerentanan ini terhadap pelanggannya, perusahaan telah merilis serangkaian Indikator Kompromi (IoC) spesifik. Buletin keamanan mereka memuat saran deteksi dini yang mencakup:
- Pemeriksaan keberadaan fail webshell (seperti
GW.class,payload.bin, ataudpr_<random>.jsp). - Pantauan terhadap permintaan (request) mencurigakan dengan pola seperti
run?p= / .jsp?c=yang dikombinasikan dengan aktivitas User-Agent yang tidak wajar. - Munculnya pesan galat (error) yang merujuk pada
GW,GW_READY_OK, atau pengecualian gateway sistem yang tak terduga.
“Kehadiran fail GW.class atau dpr_<8-hex-digits>.jsp pada server Windchill menunjukkan bahwa penyerang telah menyelesaikan tahap persiapan eksploitasi (weaponization) pada sistem sebelum melakukan eksekusi kode jarak jauh (RCE),” tegas pihak PTC. Lebih lanjut, dalam sebuah email peringatan kepada pelanggannya, PTC mengungkapkan bahwa terdapat bukti kredibel mengenai ancaman eksploitasi yang akan segera dilakukan oleh kelompok pihak ketiga.
Menanggapi gentingnya ancaman ini, media Heise melaporkan bahwa BKA menyiagakan petugas kepolisian lokal (LKA) dan mengerahkan mereka secara mendadak pada akhir pekan lalu. Petugas disebar untuk memperingatkan perusahaan-perusahaan di seluruh negeri mengenai risiko CVE-2026-4681, bahkan termasuk perusahaan yang sebenarnya tidak menggunakan produk tersebut. Petugas kepolisian dilaporkan sampai membangunkan para administrator sistem di tengah malam hanya untuk menyerahkan salinan peringatan keamanan dari PTC.
Respons cepat, tidak biasa, dan sangat mendesak dari pihak berwenang ini memicu kekhawatiran bahwa CVE-2026-4681 kemungkinan besar telah mulai dieksploitasi, atau setidaknya akan segera dieksploitasi dalam skala masif. Mengingat sistem PLM adalah perangkat lunak sentral yang digunakan oleh banyak firma teknik elit untuk perancangan sistem senjata militer, manufaktur industri skala besar, hingga rantai pasokan kritis, tindakan preventif otoritas ini dinilai sangat beralasan demi menangkal potensi spionase industri dan risiko keamanan nasional.