È stata scoperta una nuova serie di vulnerabilità della catena di approvvigionamento che interessano l'agente Axeda di PTC, interessando vari fornitori in una vasta gamma di settori, compreso sanitario e finanziario. Axeda offre una base scalabile per creare e distribuire applicazioni di livello aziendale per prodotti connessi, sia cablato che wireless, secondo la descrizione dell'azienda.
Accesso:7 Vulnerabilità nell'agente Axeda di PTC (CVE-2022-25247)
Le sette vulnerabilità sono state chiamate collettivamente Access:7, tre dei quali sono stati giudicati critici dalla CISA, poiché consentono l'esecuzione di codice in remoto e l'acquisizione completa del dispositivo. Potrebbero anche consentire agli hacker di accedere a dati sensibili o modificare le configurazioni dei dispositivi esposti.
Chi ha scoperto l'Access:7 difetti? Vedere Labs di Forescout, in collaborazione con CyberMDX.
Cos'è Axeda? La soluzione è progettata per consentire ai produttori di dispositivi di accedere e gestire in remoto i dispositivi connessi. Secondo l'articolo del Forescout, “l'agente interessato è più diffuso nel settore sanitario, ma è presente anche in altri settori, come i servizi finanziari e la produzione”.
L'elenco dei potenziali obiettivi include più di 150 dispositivi che appartengono ad almeno un centinaio di fornitori. Ciò rende l'impatto delle vulnerabilità piuttosto significativo. Inoltre, alcuni dei dispositivi interessati lo sono imaging medicale e dispositivi di laboratorio.
Ecco l'elenco delle sette vulnerabilità, il loro impatto e la loro descrizione:
- CVE-2022-25249 (Vulnerabilità di divulgazione delle informazioni, nominale 7.5): L'agente Axeda xGate.exe consente l'accesso in lettura senza restrizioni al file system tramite un attraversamento di directory sul suo server web.
- CVE-2022-25250 (Vulnerabilità di Denial of Service, nominale 7.5): L'agente Axeda xGate.exe può essere arrestato in remoto da un utente malintenzionato non autenticato tramite un comando non documentato.
- CVE-2022-25251 (L'esecuzione di codice remoto, nominale 9.4): L'agente Axeda xGate.exe supporta una serie di comandi non autenticati per recuperare informazioni su un dispositivo e modificare la configurazione dell'agente.
- CVE-2022-25246 (L'esecuzione di codice remoto, nominale 9.8): Il servizio AxedaDesktopServer.exe utilizza credenziali hardcoded per abilitare il controllo remoto completo di un dispositivo.
- CVE-2022-25248 (rivelazione di un 'informazione, nominale 5.3): Il servizio ERemoteServer.exe espone un registro di testo dell'evento in tempo reale agli aggressori non autenticati.
- CVE-2022-25247 (L'esecuzione di codice remoto, nominale 9.8): Il servizio ERemoteServer.exe consente l'accesso completo al file system e l'esecuzione di codice in modalità remota.
- CVE-2022-25252 (Negazione del servizio, nominale 7.5): Tutti i servizi Axeda che utilizzano xBase39.dll possono andare in crash a causa di un buffer overflow durante l'elaborazione delle richieste.
La elenco dei dispositivi e dei fornitori interessati è disponibile anche, compresi nomi come AT&T, Abate, Alcon, BRACCIO, Bayer, Brainlab, Broadcom, conca, Eurotech, Hitachhttps://sensorstechforum.com/cve-2019-10959-agw-medical/, HP, Medtronic, Philips, e Qualcomm.
La rapporto tecnico è disponibile anche, comprese raccomandazioni e mitigazioni per le parti interessate.
L'anno scorso, i ricercatori di sicurezza Dan Petro e Allan Cecil di Bishop Fox Labs hanno condiviso le loro scoperte in merito una vulnerabilità RNG alla base dell'IoT (Internet delle cose) sicurezza. Il difetto critico risiedeva nei generatori di numeri hardware (RNG), interessano 35 miliardi di dispositivi in tutto il mondo.