CRITICAL🇬🇧 English

CVE-2023-39476

Inductive Automation Ignition — RCE przez deserialization w JavaSerializationCodec

CVSS 9.8v3.1pub. 2024-05-03upd. 2025-03-12

Krytyczna podatność w platformie Inductive Automation Ignition umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na atakowanym systemie. Ze względu na brak wymagania uwierzytelnienia oraz pełny zakres uprawnień (SYSTEM), podatność stanowi bezpośrednie zagrożenie dla integralności, poufności i dostępności systemu.

Pokaż oryginał (EN)

Inductive Automation Ignition JavaSerializationCodec Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Inductive Automation Ignition. Authentication is not required to exploit this vulnerability. The specific flaw exists within the JavaSerializationCodec class. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. Was ZDI-CAN-20291.

🤖 Analiza AI
Jak działa

Podatność tkwi w klasie JavaSerializationCodec, która nie przeprowadza właściwej walidacji danych dostarczanych przez użytkownika. Atakujący może przesłać spreparowany payload zawierający złośliwe, zserializowane obiekty Java, które zostaną zdezserializowane przez aplikację bez odpowiednich kontroli bezpieczeństwa. W wyniku tego procesu (deserialization of untrusted data) możliwe jest wykonanie dowolnego kodu w kontekście konta SYSTEM na atakowanej maszynie.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu z uprawnieniami SYSTEM, co oznacza pełne przejęcie kontroli nad systemem operacyjnym, w tym dostęp do danych, możliwość instalacji złośliwego oprogramowania oraz lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.zerodayinitiative.com/advisories/ZDI-23-1046/). Dodatkowo zaleca się ograniczenie dostępu sieciowego do instancji Ignition wyłącznie do zaufanych hostów oraz zastosowanie segmentacji sieci w środowiskach OT/SCADA.

Kogo dotyczy

Inductive Automation Ignition — wersje wskazane w referencjach producenta (ZDI-CAN-20291 / ZDI-23-1046)

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative jako ZDI-CAN-20291 i opublikowana jako ZDI-23-1046. Exploit nie wymaga żadnego uwierzytelnienia, co znacząco zwiększa ryzyko w środowiskach z ekspozycją usługi na sieć zewnętrzną lub przemysłową (ICS/SCADA).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Inductiveautomation Ignition

    APP
    Inductiveautomation
    8.1.0 – 8.1.35 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2023-39475CRITICAL9.8PL ✓ten sam produkt

RCE przez deserializację w Inductive Automation Ignition (ParameterVersionJavaSerializationCodec)

CVE-2023-38121CRITICAL9.0PL ✓ten sam produkt

XSS do RCE w Inductive Automation Ignition OPC UA Quick Client

CVE-2022-35869CRITICAL9.8ten sam produkt

This vulnerability allows remote attackers to bypass authentication on affected installations of Inductive Aut...

CVE-2022-35890CRITICAL9.8ten sam produkt

An issue was discovered in Inductive Automation Ignition before 7.9.20 and 8.x before 8.1.17. Designer and Vis...

CVE-2023-38122HIGH7.2ten sam produkt

Inductive Automation Ignition OPC UA Quick Client Permissive Cross-domain Policy Remote Code Execution Vulnera...