1、摘要
这篇文章旨在介绍西门子博途19可以导致本地权限提升的反序列化漏洞,该漏洞存在于博途19的命名管道通信过程中,由于命名管道默认情况下只能在本地进行连接,所以通过构造特定的代码可以在本地导致执行任意代码,且本地执行的代码具有管理员权限,从而实现了本地权限的提升。该漏洞可以用于攻击者在以低权限账户成功入侵系统后,需要提升自身操作权限的场景下,为攻击者扩大攻击成果提供便利。该漏洞是由浙江国利网安科技有限公司工控安全实验室在2025年8月9日对博途19系统进行分析的过程中,通过对博途19进程中命名管道的通信数据包解析流程进行分析时首次发现的,后续的漏洞修复工作请及时关注我司及西门子官方公告。
2、漏洞简介
漏洞类型:本地权限提升漏洞
CNNVD漏洞编号:CNNVD-2025-20396494
产品供应商:西门子
产品名称及版本:博途19
利用效果:能够实现将普通用户权限提升为管理员权限。
漏洞危害:攻击者可以利用漏洞,在目标系统上提升自身的操作权限,通过执行恶意代码来扩大对受害者系统的影响程度。
利用难度:利用难度高,要在目标计算机拥有普通用户权限。
利用场景:属于ATT&CK框架TA0004权限提升阶段,T1068利用漏洞提升权限。在攻击者在初始访问和执行攻击手段之后,为了获取对目标系统的更多操作权限,通过在博途19进程反序列化数据包时构造恶意代码,使其在反序列化时以管理员权限执行攻击者准备好的恶意软件,最终实现了向管理员权限的提升。
3、西门子博途19介绍
TIA博途是全集成自动化软件TIA Portal的简称,是西门子工业自动化集团发布的一款全新的全集成自动化软件。它是业内首个采用统一的工程组态和软件项目环境的自动化软件,几乎适用于所有自动化任务。借助该全新的工程技术软件平台,用户能够快速、直观地开发和调试自动化系统。
TIA博途的核心优势在于其统一化的工程组态环境,它集成了西门子的多个自动化软件组件,如SIMATIC Step 7(用于控制器和分布式设备的组态和编程)和SIMATIC WinCC(用于人机界面的组态)等。这些组件在TIA博途平台上可以共享数据和管理,从而简化了自动化项目的开发过程。
此外,TIA博途还提供了丰富的功能,如仿真工具、能源管理功能、多用户管理以及支持云解决方案等,这些功能有助于进一步提高工厂的生产力,优化质量管理,缩短产品上市时间,并提供了更大的灵活性。
TIA博途的设计基于面向对象和集中数据管理,实现了数据的一致性和无缝集成。它还引入了项目范围的交叉索引系统,使用户能够在整个自动化项目内轻松查找数据和程序块,从而极大地缩短了软件项目的故障诊断和调试时间。
我们在分析博途19系统的本地命名管道的通信过程中发现,在通过命名管道进行通信的过程中,存在这反序列化的过程,且反序列的数据可以来自于命名管道的输入,因此可以通过构造相应的数据来触发该反序列化漏洞。整个过程的调用路径如下图所示。
图1 反序列化标签中的数据
攻击者可以通过构造特定的数据包来利用命名管道进行传输,当数据包到达反序列化的点时,可以达到任意代码执行的效果。其中命名管道的创建如下面的代码所示。
图2 创建命名管道代码
我们在复现该漏洞的时候,以执行notepad.exe记事本程序为例,通过该漏洞将可以利用命名管道来以管理员权限执行该命令。
图3 构造payload代码
通过上面的代码利用BinaryFormatter来进行序列化操作得到目标命令的字节码。接下来只需要利用ipc channel将该数据发送到目标服务即可。具体的代码如下面图所示。
图4 创建管道并发送payload
最终命令得到执行,我们可以查看该notepad的权限为管理员权限,从而实现了本地权限的提升。
图5 触发该漏洞
本漏洞实现了从普通用户权限到管理员权限的提升。本漏洞主要利用了博途19在利用命名管道进行通信时存在反序列化操作,而且未对反序列化的数据进行有效过滤导致可以执行任意代码。整个利用链较为清晰简洁,可以总结为以下三个步骤:
(1)构造并序列化目标命令,该步骤使用的是BinaryFormatter来进行序列化操作。
(2)创建命名管道,并连接到服务端,利用该命名管道对第一步中序列化的数据进行发送。
(3)服务端收到命名管道传来的数据后,进行反序列化操作从而触发漏洞,以管理员权限执行代码。
