Krytyczna podatność w platformie Inductive Automation Ignition umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na atakowanym systemie. Ze względu na brak wymagania uwierzytelnienia oraz pełny zakres uprawnień (SYSTEM), podatność stanowi bezpośrednie zagrożenie dla integralności, poufności i dostępności systemu.
▸ Pokaż oryginał (EN)
Inductive Automation Ignition JavaSerializationCodec Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Inductive Automation Ignition. Authentication is not required to exploit this vulnerability. The specific flaw exists within the JavaSerializationCodec class. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. Was ZDI-CAN-20291.
Podatność tkwi w klasie JavaSerializationCodec, która nie przeprowadza właściwej walidacji danych dostarczanych przez użytkownika. Atakujący może przesłać spreparowany payload zawierający złośliwe, zserializowane obiekty Java, które zostaną zdezserializowane przez aplikację bez odpowiednich kontroli bezpieczeństwa. W wyniku tego procesu (deserialization of untrusted data) możliwe jest wykonanie dowolnego kodu w kontekście konta SYSTEM na atakowanej maszynie.
Atakujący uzyskuje możliwość wykonania dowolnego kodu z uprawnieniami SYSTEM, co oznacza pełne przejęcie kontroli nad systemem operacyjnym, w tym dostęp do danych, możliwość instalacji złośliwego oprogramowania oraz lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.zerodayinitiative.com/advisories/ZDI-23-1046/). Dodatkowo zaleca się ograniczenie dostępu sieciowego do instancji Ignition wyłącznie do zaufanych hostów oraz zastosowanie segmentacji sieci w środowiskach OT/SCADA.
Inductive Automation Ignition — wersje wskazane w referencjach producenta (ZDI-CAN-20291 / ZDI-23-1046)
Podatność została zgłoszona w ramach programu Zero Day Initiative jako ZDI-CAN-20291 i opublikowana jako ZDI-23-1046. Exploit nie wymaga żadnego uwierzytelnienia, co znacząco zwiększa ryzyko w środowiskach z ekspozycją usługi na sieć zewnętrzną lub przemysłową (ICS/SCADA).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HInductiveautomation Ignition
APPInductiveautomation8.1.0 – 8.1.35 (bez)
Powiązane podatności
RCE przez deserializację w Inductive Automation Ignition (ParameterVersionJavaSerializationCodec)
XSS do RCE w Inductive Automation Ignition OPC UA Quick Client
This vulnerability allows remote attackers to bypass authentication on affected installations of Inductive Aut...
An issue was discovered in Inductive Automation Ignition before 7.9.20 and 8.x before 8.1.17. Designer and Vis...
Inductive Automation Ignition OPC UA Quick Client Permissive Cross-domain Policy Remote Code Execution Vulnera...