Er is een nieuwe reeks kwetsbaarheden in de toeleveringsketen ontdekt die van invloed zijn op de Axeda-agent van PTC, gevolgen hebben voor verschillende leveranciers in een reeks industrieën, inclusief zorg en financieel. Axeda biedt een schaalbare basis voor het bouwen en implementeren van enterprise-grade applicaties voor verbonden producten, zowel bedraad als draadloos, volgens de eigen beschrijving van het bedrijf.
Toegang:7 Kwetsbaarheden in de Axeda Agent van PTC (CVE-2022-25247)
De zeven kwetsbaarheden worden gezamenlijk Access genoemd:7, waarvan er drie als kritisch zijn beoordeeld door CISA, omdat ze uitvoering van externe code en volledige apparaatovername mogelijk maken. Ze kunnen hackers ook toegang geven tot gevoelige gegevens of de configuraties van blootgestelde apparaten wijzigen.
Wie heeft de Access . ontdekt?:7 gebreken? Forescout's Vedere Labs, in samenwerking met CyberMDX.
Wat is Axeda? De oplossing is ontworpen voor apparaatfabrikanten om op afstand toegang te krijgen tot verbonden apparaten en deze te beheren. Volgens de beschrijving van de Forescout, “het aangetaste middel is het populairst in de gezondheidszorg, maar is ook aanwezig in andere industrieën, zoals financiële diensten en productie.”
De lijst met potentiële doelwitten bevat meer dan 150 apparaten die toebehoren aan minstens honderd leveranciers. Dit maakt de impact van de kwetsbaarheden behoorlijk groot. Bovendien, sommige van de getroffen apparaten zijn: medische beeldvorming en laboratoriumapparatuur.
Hier is de lijst van de zeven kwetsbaarheden en hun impact en beschrijving:
- CVE-2022-25249 (Kwetsbaarheid van het vrijgeven van informatie, rated 7.5): De Axeda xGate.exe-agent zorgt voor onbeperkte leestoegang van het bestandssysteem via een directory-traversal op zijn webserver.
- CVE-2022-25250 (Denial-of-Service-kwetsbaarheid, rated 7.5): De Axeda xGate.exe-agent kan op afstand worden afgesloten door een niet-geverifieerde aanvaller via een niet-gedocumenteerde opdracht.
- CVE-2022-25251 (Uitvoering van externe code, rated 9.4): De Axeda xGate.exe-agent ondersteunt een reeks niet-geverifieerde opdrachten om informatie over een apparaat op te halen en de configuratie van de agent te wijzigen.
- CVE-2022-25246 (Uitvoering van externe code, rated 9.8): De AxedaDesktopServer.exe-service gebruikt hardgecodeerde inloggegevens om volledige afstandsbediening van een apparaat mogelijk te maken.
- CVE-2022-25248 (vrijgeven van informatie, rated 5.3): De ERemoteServer.exe-service stelt een tekstlogboek voor live gebeurtenissen bloot aan niet-geverifieerde aanvallers.
- CVE-2022-25247 (Uitvoering van externe code, rated 9.8): De ERemoteServer.exe-service zorgt voor volledige toegang tot het bestandssysteem en uitvoering van externe code.
- CVE-2022-25252 (Denial of Service, rated 7.5): Alle Axeda-services die xBase39.dll gebruiken, kunnen worden gecrasht vanwege een bufferoverloop bij het verwerken van verzoeken.
Een lijst met betrokken apparaten en leveranciers is ook beschikbaar, inclusief namen zoals AT&T, Abbott, Alcon, ARM, Bayer, Brainlab, Broadcom, dal, Eurotech, Hitachhttps://sensorstechforum.com/cve-2019-10959-agw-medical/, PK, Medtronic, Philips, en Qualcomm.
Een technisch rapport is ook beschikbaar, inclusief aanbevelingen en mitigaties voor betrokken partijen.
Vorig jaar, beveiligingsonderzoekers Dan Petro en Allan Cecil van Bishop Fox Labs deelden hun bevindingen met betrekking tot: een RNG-kwetsbaarheid in de basis van IoT (internet van dingen) veiligheid. De kritieke fout zat in het genereren van hardwarenummers (RNG's), invloed 35 miljard apparaten wereldwijd.