Kerentanan Deserialisasi yang Ditambal Pada Produk Siemens Memungkinkan RCE

Kerentanan Deserialisasi yang Ditambal Pada Produk Siemens Memungkinkan RCE

Posted by : Admin , May 13, 2024
Siemens Simatic Energy Manager ditemukan memiliki kerentanan deserialisasi (CVE-2022-23450) karena penggunaan BinaryFormatter di Microsoft .NET, sebuah metode yang dikenal memiliki risiko keamanan. Para peneliti Claroty menemukan kerentanan tersebut, mencatat bahwa perangkat lunak tersebut tidak memiliki tindakan pencegahan terhadap penyisipan data berbahaya selama proses serialisasi dan deserialisasi. Kerentanan ini memungkinkan eksekusi kode jarak jauh tanpa perlu melewati autentikasi, sehingga menimbulkan risiko besar pada pengaturan industri tempat perangkat lunak digunakan untuk memantau konsumsi energi. Siemens telah menambal kerentanan tersebut dua tahun lalu, tetapi pelanggan yang menjalankan versi di bawah V.73 Pembaruan 1 tetap rentan, dengan skor CVSS 10 yang menunjukkan tingkat keparahan masalah tersebut.

Sumber : https://www.healthcareinfosecurity.com/patched-deserialization-flaw-in-siemens-product-allows-rce-a24980?&web_view=true