«Вставай, админ: пора патчить прод». Полицейские разбудили сотни айтишников из-за критического бага
Похоже, привычные цифровые каналы больше не внушают доверия властям.
Ночью на 23 марта по всей Германии в двери компаний и даже частных домов массово стучалась полиция — поводом стала уязвимость в корпоративном ПО, о которой многие администраторы узнали не из уведомлений разработчика, а от правоохранителей. Необычная ситуация быстро вызвала вопросы: насколько серьёзна проблема и оправдана ли такая срочность.
Речь идёт о критической уязвимости в продуктах Windchill и FlexPLM компании PTC. Проблема связана с небезопасной десериализацией и получила максимальную оценку по шкале CVSS — 10 баллов. Федеральное ведомство уголовной полиции Германии инициировало масштабное оповещение: региональные управления получили список компаний и направили сотрудников для личного контакта. По неофициальным данным, затронуто было более тысячи организаций.
Сотрудники полиции приходили глубокой ночью. В ряде случаев визиты происходили около трёх часов утра. Администраторам передавали письмо от PTC с рекомендациями по срочному устранению проблемы. Такой подход удивил многих: часть компаний заявила, что их инфраструктура изолирована от внешних сетей, а доступ к системам строго ограничен. Были и случаи, когда полиция приезжала к организациям, не использующим уязвимые продукты.
Региональные управления подтвердили факт операции. В Тюрингии, например, подразделение по киберпреступности сначала пыталось связаться с компаниями по телефону, а при отсутствии ответа направляло сотрудников на место. При этом сами компании к моменту визита уже получили уведомления от производителя и начали принимать меры.
Масштаб и формат действий выглядели весьма нетипично как для Германии, так и для любой другой страны. Обычно подобные инциденты сопровождаются публикациями от профильных ведомств, но в этот раз Федеральное ведомство по информационной безопасности ограничилось сдержанным сообщением спустя сутки. Американское агентство CISA и вовсе не выпускало предупреждений.
Дополнительную путаницу внёс сам разработчик. PTC заявила об отсутствии подтверждённых атак на клиентов, но одновременно опубликовала признаки компрометации. Среди них — наличие файла GW.class, который указывает на успешную подготовку системы к удалённому выполнению кода. Такая двойственность вызвала недоумение у специалистов.
На момент публикации идентификатор уязвимости получил обозначение CVE-2026-4681, однако обновления для её устранения ещё не выпущены. Ситуация остаётся неопределённой: с одной стороны, заявлений о реальных атаках нет, с другой — признаки возможной эксплуатации уже описаны, а реакция властей оказалась беспрецедентной.