Pesquisadores detalharam uma vulnerabilidade de desserialização em um software da Siemens usado para monitorar o consumo de energia em ambientes industriais, atribuindo a falha à decisão do conglomerado alemão de usar um método de programação conhecido por seus riscos de segurança. A Siemens corrigiu a vulnerabilidade, identificada como CVE-2022-23450, há dois anos, tempo suficiente, segundo os pesquisadores, para que os clientes da Siemens aplicassem as correções antes de uma explicação detalhada da falha, que eles descobriram.

Embora muitos pensem que as vulnerabilidades de desserialização são coisa do passado, ainda as vemos surgir de vez em quando. Programas serializam e desserializam dados estruturados ao transportá-los através de uma rede. Se hackers inserirem instruções maliciosas em um objeto de dados antes da serialização, eles podem obter execução de código remoto no computador que desserializa o fluxo de bytes, assumindo que contramedidas não estejam em vigor.

Contramedidas não estavam em vigor no Siemens Simatic Energy Manager, software que usa um protocolo de mensagens proprietário para comunicar dados sobre o uso de energia da planta de um servidor web para uma aplicação do usuário. O que tornou o BinaryFormatter tão popular é também o motivo pelo qual, finalmente, a Microsoft teve que desativá-lo. A classe “não higieniza os tipos de classes que desserializa, em vez disso, tem a capacidade de criar classes arbitrárias.