Vulnerabilità Amazon Q Developer e PTC Windchill: patch urgenti CVE-2026-12957 e CVE-2026-12569

🛡️ Executive Summary

• Le vulnerabilità CVE-2026-12957 in Amazon Q Developer e CVE-2026-12569 in PTC Windchill risultano ad alto impatto e una è già sfruttata attivamente.
• Le falle consentono esecuzione di codice, furto di credenziali cloud, installazione di web shell e compromissione persistente di ambienti enterprise.
• Le mitigazioni richiedono aggiornamenti immediati, ricerca degli IOC, monitoraggio dei server MCP e verifica delle installazioni Windchill.

L’evoluzione delle minacce informatiche continua a colpire contemporaneamente gli strumenti destinati agli sviluppatori e le piattaforme enterprise utilizzate per gestire dati strategici. Due vulnerabilità recentemente corrette dimostrano come l’intero ciclo di sviluppo e gestione del software rappresenti oggi un bersaglio privilegiato. La prima interessa Amazon Q Developer, l’assistente di coding basato su intelligenza artificiale di AWS, e consente a repository appositamente preparati di eseguire codice arbitrario e sottrarre credenziali cloud attraverso la configurazione dei server Model Context Protocol (MCP). La seconda riguarda PTC Windchill, piattaforma di Product Lifecycle Management (PLM), dove una vulnerabilità di Remote Code Execution (RCE) è già stata inserita nel catalogo Known Exploited Vulnerabilities (KEV) della CISA dopo la conferma dello sfruttamento attivo mediante web shell JSP. Entrambe le falle richiedono interventi immediati per impedire compromissioni di workstation di sviluppo e infrastrutture aziendali critiche.

Amazon Q Developer espone gli sviluppatori al furto di credenziali cloud

La vulnerabilità CVE-2026-12957, classificata con un punteggio CVSS 8.5, interessa Amazon Q Developer e deriva dalla gestione automatica dei server Model Context Protocol (MCP). Questi componenti consentono all’assistente AI di interagire con database, strumenti di build, API e altre risorse locali durante le attività di sviluppo. Il problema nasce dall’elaborazione automatica del file .amazonq/mcp.json presente nei progetti aperti all’interno dell’ambiente di sviluppo. Quando uno sviluppatore clona un repository predisposto da un attaccante e conferma la fiducia nello spazio di lavoro, Amazon Q interpreta la configurazione contenuta nel file e avvia automaticamente i server MCP indicati. Tali processi ereditano l’intero ambiente dell’utente, inclusi token AWS, chiavi di accesso cloud, credenziali CLI, segreti API e perfino i socket dell’agente SSH. Questo comportamento consente l’esecuzione di codice arbitrario con gli stessi privilegi della sessione attiva dello sviluppatore, trasformando un semplice repository in un efficace vettore di compromissione degli ambienti cloud.

Il file MCP permette l’esecuzione automatica di comandi malevoli

Lo sfruttamento della vulnerabilità richiede esclusivamente la presenza di un file .amazonq/mcp.json predisposto dall’attaccante all’interno del repository distribuito. Dopo che la vittima ha aperto il progetto e autorizzato l’utilizzo dello spazio di lavoro, Amazon Q Developer avvia automaticamente i processi specificati nella configurazione. Un server MCP malevolo può quindi eseguire comandi come aws sts get-caller-identity, raccogliere informazioni sull’account cloud attivo ed esfiltrarne il risultato verso infrastrutture controllate dagli aggressori. La dimostrazione realizzata dai ricercatori di Wiz evidenzia come il furto delle credenziali possa successivamente consentire la creazione di utenti IAM persistenti, l’accesso a risorse interne e il movimento laterale verso ambienti di produzione. La vulnerabilità interessa il componente condiviso Language Server for AWS, utilizzato dai plugin Amazon Q Developer per Visual Studio Code, JetBrains, Eclipse e Visual Studio, ampliando significativamente la superficie di attacco.

AWS corregge le vulnerabilità del Language Server e introduce ulteriori protezioni

L’impatto della CVE-2026-12957 può tradursi nel completo controllo delle risorse cloud accessibili dallo sviluppatore compromesso, rendendo particolarmente pericolosi gli ambienti con privilegi elevati. AWS ha corretto il problema introducendo le modifiche nel Language Servers for AWS versione 1.65.0, raccomandando comunque l’aggiornamento alla versione 1.69.0, che corregge anche la CVE-2026-12958, una seconda vulnerabilità che consentiva scritture arbitrarie di file attraverso l’abuso di symlink. Le versioni corrette comprendono Visual Studio Code 2.20, JetBrains 4.3, Eclipse 2.7.4 e AWS Toolkit for Visual Studio 1.94.0.0. Nella maggior parte dei casi il Language Server viene aggiornato automaticamente, ma gli amministratori dovrebbero verificare manualmente la versione installata. Il problema conferma inoltre una tendenza osservata negli assistenti di coding basati su AI, dove configurazioni di progetto e file locali vengono spesso trattati come attendibili senza un controllo esplicito dei privilegi richiesti.

PTC Windchill finisce nel catalogo KEV della CISA per una RCE critica

Parallelamente alla vulnerabilità di Amazon Q Developer, la CISA ha inserito nel proprio catalogo Known Exploited Vulnerabilities la CVE-2026-12569, che interessa PTC Windchill PDMlink e PTC FlexPLM. La falla presenta un punteggio CVSS 9.3 ed è causata dalla deserializzazione di dati non attendibili derivante da una validazione insufficiente degli input. Un attaccante remoto può inviare richieste opportunamente costruite ottenendo l’esecuzione remota di codice (RCE) sui server vulnerabili senza richiedere ulteriori condizioni particolari. PTC aveva distribuito gli aggiornamenti di sicurezza pochi giorni prima dell’inserimento nel catalogo KEV, ma l’esistenza di prove concrete di sfruttamento attivo ha spinto CISA a classificare immediatamente la vulnerabilità come prioritaria. Si tratta della prima vulnerabilità di un prodotto PTC ad essere inclusa nel catalogo delle falle sfruttate attivamente, confermando il crescente interesse degli attori malevoli verso piattaforme PLM utilizzate da aziende manifatturiere e industriali.

Gli attaccanti distribuiscono web shell JSP per mantenere il controllo dei server

Le analisi condotte dopo la pubblicazione della vulnerabilità hanno evidenziato che gli aggressori sfruttano la CVE-2026-12569 principalmente per installare web shell JSP all’interno delle installazioni compromesse di Windchill. Questi componenti garantiscono un accesso persistente ai server consentendo l’esecuzione di comandi arbitrari, il caricamento di ulteriori malware e la sottrazione di dati aziendali. PTC ha confermato un incremento significativo dell’attività malevola osservata in ambienti reali, sottolineando come gli exploit siano già stati completamente weaponizzati. La rapidità con cui la vulnerabilità è stata trasformata in uno strumento operativo evidenzia il valore strategico delle piattaforme PLM, spesso utilizzate per gestire documentazione tecnica, proprietà intellettuale, disegni industriali e informazioni sull’intero ciclo di vita dei prodotti.

Gli indicatori di compromissione consentono di individuare le installazioni già violate

Per facilitare le attività di incident response, PTC ha pubblicato numerosi Indicatori di Compromissione (IOC) relativi alla campagna. Tra questi figurano gli indirizzi IP 172.111.38.31, 216.152.148.54, 104.243.35.131, 74.50.76.146 e soprattutto 5.180.41.35, identificato come infrastruttura di Command and Control (C2). Le web shell osservate seguono generalmente il pattern /Windchill/login/[16 caratteri esadecimali].jsp, mentre la presenza del file flst.txt nelle directory /tmp o nella cartella di lavoro di Windchill costituisce un ulteriore indicatore delle attività di enumerazione effettuate dagli aggressori. Le organizzazioni dovrebbero bloccare immediatamente le comunicazioni verso gli indirizzi IP segnalati, ricercare richieste HTTP POST sospette nei log applicativi, verificare la presenza di file JSP anomali e utilizzare gli hash SHA-256 pubblicati da PTC per individuare eventuali componenti malevoli. L’implementazione di regole WAF, IDS e filtri dedicati all’header X-windchill-req, insieme alla limitazione dell’esposizione Internet dell’interfaccia di login, contribuisce a ridurre significativamente il rischio di sfruttamento.

Le vulnerabilità confermano la crescente esposizione di strumenti AI e software industriali

Le due vulnerabilità interessano categorie di software molto diverse ma accomunate dall’elevato livello di privilegi con cui operano. Amazon Q Developer espone direttamente gli ambienti cloud degli sviluppatori attraverso configurazioni di progetto considerate implicitamente affidabili, mentre PTC Windchill permette la compromissione completa di infrastrutture enterprise destinate alla gestione del patrimonio industriale. In entrambi i casi la tempestività nell’applicazione delle patch rappresenta la misura difensiva più efficace. Le organizzazioni dovrebbero inoltre monitorare attentamente l’avvio dei server MCP nei progetti di sviluppo, verificare la provenienza dei repository utilizzati dai team di sviluppo, analizzare costantemente i log di Windchill, implementare controlli di integrità del file system e rafforzare il monitoraggio degli accessi remoti. L’inclusione della CVE-2026-12569 nel catalogo KEV della CISA e la disclosure coordinata della vulnerabilità in Amazon Q Developer confermano che strumenti basati su AI, piattaforme di sviluppo e software industriali richiedono ormai lo stesso livello di attenzione riservato ai sistemi infrastrutturali più critici.