Maar liefst zeven beveiligingsproblemen zijn onthuld in de Axeda-software van PTC die kunnen worden gebruikt om ongeautoriseerde toegang te krijgen tot medische en IoT-apparaten.
Gezamenlijk genoemd "Toegang: 7”, de zwakke punten – waarvan er drie in ernst als Kritisch worden beoordeeld – hebben mogelijk invloed op meer dan 150 apparaatmodellen verspreid over meer dan 100 verschillende fabrikanten, wat een aanzienlijk supply chain-risico vormt.
De Axeda-oplossing van PTC omvat een cloudplatform waarmee apparaatfabrikanten connectiviteit tot stand kunnen brengen om op afstand een breed scala aan verbonden machines, sensoren en apparaten te bewaken, beheren en onderhouden via de zogenaamde agent, die door de OEM's wordt geïnstalleerd voordat de apparaten worden verkocht aan klanten.
"Access:7 zou hackers in staat kunnen stellen om op afstand kwaadaardige code uit te voeren, toegang te krijgen tot gevoelige gegevens of de configuratie te wijzigen op medische en IoT-apparaten met PTC's Axeda remote code and management agent", aldus onderzoekers van Forescout en CyberMDX in een gezamenlijk rapport dat vandaag is gepubliceerd.
Van de 100 getroffen apparaatverkopers behoort 55% tot de gezondheidszorg, gevolgd door IoT (24%), IT (8%), financiële dienstverlening (5%) en productie (4%). Maar liefst 54% van de klanten met apparaten waarop Axeda draait, is geïdentificeerd in de zorgsector.
Naast medische beeldvormings- en laboratoriummachines omvatten kwetsbare apparaten alles, van geldautomaten, verkoopautomaten, geldbeheersystemen en labelprinters tot barcodescansystemen, SCADA-systemen, oplossingen voor het bewaken en volgen van activa, IoT-gateways en industriële snijplotters.
De lijst met gebreken is hieronder -
- CVE-2022-25246 (CVSS-score: 9.8) – Het gebruik van hard-coded inloggegevens in de AxedaDesktopServer.exe-service die de overname van een apparaat op afstand mogelijk zou kunnen maken
- CVE-2022-25247 (CVSS-score: 9.8) – Een fout in ERemoteServer.exe die kan worden gebruikt om speciaal vervaardigde opdrachten te verzenden om externe code-uitvoering (RCE) en volledige toegang tot het bestandssysteem te verkrijgen
- CVE-2022-25251 (CVSS-score: 9.4) – Ontbrekende authenticatie in de Axeda xGate.exe-agent die kan worden gebruikt om de configuratie van de agent te wijzigen
- CVE-2022-25249 (CVSS-score: 7.5) – Een directory-traversal-fout in de Axeda xGate.exe-agent waardoor een niet-geverifieerde aanvaller op afstand leestoegang kan krijgen tot het bestandssysteem op de webserver
- CVE-2022-25250 (CVSS-score: 7.5) – Een denial-of-service (DoS)-fout in de Axeda xGate.exe-agent door een niet-gedocumenteerde opdracht te injecteren
- CVE-2022-25252 (CVSS score: 7.5) – Een buffer overflow kwetsbaarheid in de Axeda xBase39.dll component die kan resulteren in een denial-of-service (DoS)
- CVE-2022-25248 (CVSS-score: 5.3) – Een fout in het vrijgeven van informatie in de ERemoteServer.exe-service die het tekstlogboek van de livegebeurtenis blootstelt aan niet-geverifieerde partijen
Succesvol misbruik van de fouten kan aanvallers de mogelijkheid geven om op afstand kwaadaardige code uit te voeren om de volledige controle over apparaten te krijgen, toegang te krijgen tot gevoelige gegevens, configuraties aan te passen en specifieke services op de getroffen apparaten af te sluiten.
De gebreken, die van invloed waren op alle versies van de Axeda Agent vóór 6.9.3, werden op 10 augustus 2021 aan PTC gemeld als onderdeel van een gecoördineerd openbaarmakingsproces waarbij het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Health Information Sharing and Analysis Center (H-ISAC) en de Food and Drug Administration (FDA) betrokken waren.
Om de gebreken te verminderen en mogelijke uitbuiting te voorkomen, zijn gebruikers: aanbevolen om te upgraden naar Axeda agent versie 6.9.1 build 1046, 6.9.2 build 1049 of 6.9.3 build 1051.
Dit is niet de eerste keer dat kritieke beveiligingsproblemen aan het licht komen die voornamelijk gericht zijn op gezondheidszorgsystemen. In december 2020 maakte CyberMDX bekend “MDhex-straal”, een ernstige fout in de CT-, X-Ray- en MRI-beeldvormingsproducten van GE Healthcare die zou kunnen leiden tot de blootstelling van beschermde gezondheidsinformatie.
"Acces:7 is van invloed op een oplossing die wordt verkocht aan apparaatfabrikanten die hun interne systeem voor remote service niet hebben ontwikkeld", aldus de onderzoekers. "Dit maakt het een kwetsbaarheid in de toeleveringsketen en daarom treft het veel downstream-fabrikanten en apparaten."
