CRITICAL🇬🇧 English

CVE-2023-39475

RCE przez deserializację w Inductive Automation Ignition (ParameterVersionJavaSerializationCodec)

CVSS 9.8v3.1pub. 2024-05-03upd. 2025-03-13

Krytyczna podatność w platformie Inductive Automation Ignition umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Podatność wynika z braku walidacji danych wejściowych w klasie ParameterVersionJavaSerializationCodec, co prowadzi do deserializacji niezaufanych danych.

Pokaż oryginał (EN)

Inductive Automation Ignition ParameterVersionJavaSerializationCodec Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Inductive Automation Ignition. Authentication is not required to exploit this vulnerability. The specific flaw exists within the ParameterVersionJavaSerializationCodec class. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. Was ZDI-CAN-20290.

🤖 Analiza AI
Jak działa

Podatność znajduje się w klasie ParameterVersionJavaSerializationCodec, która nieprawidłowo waliduje dane dostarczone przez użytkownika przed ich deserializacją. Atakujący może przesłać specjalnie spreparowany payload przez sieć, który zostanie poddany deserializacji bez żadnej weryfikacji. Wykonanie kodu następuje w kontekście konta SYSTEM, co oznacza najwyższy poziom uprawnień w systemie operacyjnym Windows.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu z uprawnieniami SYSTEM na zaatakowanej maszynie, co skutkuje pełnym przejęciem kontroli nad systemem, w tym dostępem do danych, instalowaniem oprogramowania oraz dalszym lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do instalacji Ignition za pomocą firewall oraz segmentację sieci przemysłowych (OT/ICS) w celu zmniejszenia powierzchni ataku do czasu wdrożenia poprawki.

Kogo dotyczy

Inductive Automation Ignition — wersje wskazane w referencjach producenta oraz w poradniku ZDI-23-1047

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative jako ZDI-CAN-20290 i opublikowana jako ZDI-23-1047. Exploitation nie wymaga żadnego uwierzytelnienia, co znacząco zwiększa ryzyko dla systemów dostępnych z sieci.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Inductiveautomation Ignition

    APP
    Inductiveautomation
    8.1.0 – 8.1.35 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2023-39476CRITICAL9.8PL ✓ten sam produkt

Inductive Automation Ignition — RCE przez deserialization w JavaSerializationCodec

CVE-2023-38121CRITICAL9.0PL ✓ten sam produkt

XSS do RCE w Inductive Automation Ignition OPC UA Quick Client

CVE-2022-35869CRITICAL9.8ten sam produkt

This vulnerability allows remote attackers to bypass authentication on affected installations of Inductive Aut...

CVE-2022-35890CRITICAL9.8ten sam produkt

An issue was discovered in Inductive Automation Ignition before 7.9.20 and 8.x before 8.1.17. Designer and Vis...

CVE-2023-38122HIGH7.2ten sam produkt

Inductive Automation Ignition OPC UA Quick Client Permissive Cross-domain Policy Remote Code Execution Vulnera...