Et nyt sæt forsyningskædesårbarheder er blevet opdaget, der påvirker PTC's Axeda-agent, påvirker forskellige leverandører i en række brancher, herunder sundhedsvæsen og økonomi. Axeda tilbyder et skalerbart grundlag til at bygge og implementere applikationer i virksomhedskvalitet til forbundne produkter, både kablet og trådløst, efter virksomhedens egen beskrivelse.
Adgang:7 Sårbarheder i PTC's Axeda Agent (CVE-2022-25247)
De syv sårbarheder er samlet blevet kaldt Access:7, hvoraf tre er blevet vurderet som kritiske af CISA, da de muliggør fjernudførelse af kode og fuld enhedsovertagelse. De kan også tillade hackere at få adgang til følsomme data eller ændre konfigurationerne af udsatte enheder.
Hvem opdagede Access:7 fejl? Forescouts Vedere Labs, i samarbejde med CyberMDX.
Hvad er Axeda? Løsningen er designet til, at enhedsproducenter kan fjernadgå og administrere tilsluttede enheder. Ifølge Forescout's skrive-up, "det berørte middel er mest populært i sundhedsvæsenet, men er også til stede i andre industrier, såsom finansielle tjenesteydelser og fremstilling."
Listen over potentielle mål omfatter mere end 150 enheder, der tilhører mindst hundrede leverandører. Dette gør sårbarhedernes indvirkning ret betydelig. Desuden, nogle af de berørte enheder er medicinsk billedbehandling og laboratorieudstyr.
Her er listen over de syv sårbarheder og deres indvirkning og beskrivelse:
- CVE-2022-25249 (Informationssårbarhed, nominel 7.5): Axeda xGate.exe-agenten giver mulighed for ubegrænset læseadgang til filsystemet via en mappegennemgang på dens webserver.
- CVE-2022-25250 (Denial-of-Service-sårbarhed, nominel 7.5): Axeda xGate.exe-agenten kan lukkes eksternt af en uautoriseret angriber via en udokumenteret kommando.
- CVE-2022-25251 (Fjernbetjening af kode, nominel 9.4): Axeda xGate.exe-agenten understøtter et sæt uautoriserede kommandoer til at hente oplysninger om en enhed og ændre agentens konfiguration.
- CVE-2022-25246 (Fjernbetjening af kode, nominel 9.8): AxedaDesktopServer.exe-tjenesten bruger hårdkodede legitimationsoplysninger til at muliggøre fuld fjernstyring af en enhed.
- CVE-2022-25248 (videregivelse af oplysninger, nominel 5.3): ERemoteServer.exe-tjenesten afslører en live-hændelsestekstlog for uautoriserede angribere.
- CVE-2022-25247 (Fjernbetjening af kode, nominel 9.8): ERemoteServer.exe-tjenesten giver mulighed for fuld filsystemadgang og fjernudførelse af kode.
- CVE-2022-25252 (Servicenægtelse, nominel 7.5): Alle Axeda-tjenester, der bruger xBase39.dll, kan gå ned på grund af et bufferoverløb ved behandling af anmodninger.
A liste over berørte enheder og leverandører er også tilgængelig, herunder navne som AT&T, Abbott, Alcon, ARM, Bayer, Brainlab, Broadcom, Dell, Eurotech, Hitachhttps://sensorstechforum.com/cve-2019-10959-agw-medical/, HP, Medtronic, Philips, og Qualcomm.
A teknisk rapport er også tilgængelig, herunder anbefalinger og afhjælpninger for berørte parter.
Sidste år, sikkerhedsforskere Dan Petro og Allan Cecil fra Bishop Fox Labs delte deres resultater vedr en RNG-sårbarhed i grundlaget for IoT (Tingenes internet) sikkerhed. Den kritiske fejl lå i hardwarenummergeneratorer (RNG'er), påvirker 35 milliarder enheder verden over.