Meer dan 150 Internet of Things (IoT)-apparaten - waaronder veel die worden gebruikt in de gezondheidszorg - van meer dan 100 bedrijven lopen een verhoogd risico om te worden aangevallen door een reeks van zeven kwetsbaarheden in een externe toegangscomponent van derden in de apparaten.
Drie van de bugs worden als kritiek beoordeeld omdat ze aanvallers in staat stellen op afstand kwaadaardige code uit te voeren op kwetsbare apparaten om er de volledige controle over te krijgen. De overige kwetsbaarheden hebben matige tot hoge ernstclassificaties en bieden aanvallers een manier om gegevens te stelen of denial-of-service-aanvallen uit te voeren.
De kwetsbaarheden zijn aanwezig in meerdere versies van PTC Axeda Agent en PTC Desktop Server - technologieën die veel IoT-leveranciers in hun apparaten opnemen om toegang en beheer op afstand mogelijk te maken. Onderzoekers van Forescout's Vedere Labs en CyberMDX die de kwetsbaarheden ontdekten, volgen ze gezamenlijk op als "Access:7".
In een rapport met een samenvatting van hun bevindingen deze week, onderzoekers beschreven de buggy-component zoals vooral gangbaar in met internet verbonden apparaten die worden gebruikt in de gezondheidszorg, zoals medische beeldvorming, laboratoria, radiotherapie en chirurgische technologieën. Forescout zei dat een geanonimiseerde scan van zijn klantnetwerken zo'n 2,000 unieke apparaten aan het licht bracht met kwetsbare versies van Axeda erop. Daarvan werd 55% ingezet in zorgorganisaties, 24% in organisaties die IoT-producten ontwikkelen, 8% in IT, 5% in financiële dienstverleningsomgevingen, 4% in productie en 4% in andere branches.
Onder de getroffen apparaten bevinden zich - naast gezondheidszorggerelateerde technologieën - geldautomaten, SCADA-systemen, verkoopautomaten, geldbeheersystemen, IoT-gateways en technologieën voor activabewaking. Alle versies van de Axeda-technologie onder 6.9.3 worden getroffen en PTC heeft patches uitgebracht voor alle kwetsbaarheden, aldus Forescout.
Daniel dos Santos, hoofd beveiligingsonderzoek bij Forescout, zegt dat de kwetsbaarheden het bewijs zijn dat tools voor beheer op afstand een gevaar vormen, niet alleen in de IT-wereld, zoals blijkt uit aanvallen zoals die op Kaseya vorig jaar — maar ook voor IoT en met internet verbonden medische technologieën.
"Het is dus belangrijk dat organisaties een inventaris hebben van apparaten die op afstand worden beheerd en begrijpen hoe ze worden beheerd", zegt hij. "Organisaties moeten eerst de kwetsbare apparaten in het netwerk identificeren en ervoor zorgen dat ze niet worden blootgesteld aan deze kwetsbaarheden door hun netwerken te segmenteren en het verkeer op de kwetsbare poorten te beperken." Ze moeten de apparaten dan waar mogelijk patchen, zegt dos Santos.
De set van zeven kwetsbaarheden die Forescout en CyberMDX ontdekten, zijn onder meer die die het gevolg zijn van het gebruik van hardgecodeerde inloggegevens, ontbrekende authenticatie, onjuiste beperking van een padnaam en onjuiste controle of afhandeling van uitzonderingen.
De drie kritieke fouten bij het uitvoeren van externe code die de leveranciers aan PTC hebben gemeld, zijn CVE-2022-25251 in de Axeda xGate.exe-agent, CVE-2022-25246 in AxedaDesktopServer.exe en CVE-2022-25247 in de ERemoteServer.exe-service.
De kwetsbaarheden treffen verschillende onderdelen van de agent, zegt Dos Santos. Dit omvat een configuratietool, die niet aanwezig mag zijn op productieapparaten, een desktopservertool, een gatewaycomponent en een gedeelde bibliotheek. "Het is dus mogelijk - en vaak het geval - dat niet alle kwetsbaarheden op een apparaat aanwezig zullen zijn", zegt hij.
De meest voorkomende kwetsbaarheden zijn die van de gateway en de bibliotheek. Dit zijn: CVE-2022-25249, CVE-2022-25250; CVE-2022-25251 en CVE-2022-25252, zegt dos Santos.
CISA-advies
A Advies van het Amerikaanse Cybersecurity and Infrastructure Agency (CISA) beschreef dat de Access:7-kwetsbaarheden van invloed zijn op organisaties in meerdere kritieke infrastructuursectoren in de VS en over de hele wereld. “Succesvolle exploitatie van deze kwetsbaarheden — gezamenlijk bekend als 'Access:7' — kan leiden tot volledige systeemtoegang, uitvoering van externe code, configuratie voor lezen/wijzigen, leestoegang tot bestandssysteem, toegang tot loggegevens of een denial-of-service-conditie, ', aldus CISA.
Dos Santos zegt dat de blootstelling aan mogelijke aanvallen waarmee organisaties worden geconfronteerd door de kwetsbaarheden, afhangt van de sectoren waarin ze actief zijn. Zorgorganisaties hebben waarschijnlijk meer fysieke blootstelling dan andere sectoren, omdat er veel openbare ruimtes zijn in ziekenhuisomgevingen en veel interacties met patiënten die het gebruik van IT-systemen vereisen. "Medische apparaten worden echter zelden blootgesteld aan internet, wat vaker voorkomt in andere sectoren, zoals de financiële dienstverlening", zegt hij.
Dos Santos zegt dat aanvallers een soort van voorafgaande lokale toegang tot een netwerk moeten hebben om de Access:7-kwetsbaarheden te kunnen misbruiken. Maar voor aanvallers die lokale toegang hebben, bijvoorbeeld via phishing of door misbruik te maken van een andere kwetsbaarheid, zijn de fouten gemakkelijk te misbruiken, zegt hij. De apparaten kunnen op het netwerk worden geïdentificeerd door specifieke open poorten of netwerkvingerafdrukken, zoals HTTP-banners, wat ook niet moeilijk is.
"De soorten aanvallen die met deze kwetsbaarheden kunnen worden uitgevoerd, zijn voor alle organisaties hetzelfde, maar hun impact is anders", zegt Dos Santos. “Zo heeft een data-exfiltratie in de zorg een andere impact dan een data-exfiltratie in een financiële dienstverlener.”
Forescout heeft een technisch rapport gepubliceerd met volledige details van de gebreken en ook een blogpost er ook op.
De Access:7-kwetsbaarheden zijn een andere herinnering aan de vaak onderschatte risico waarmee organisaties worden geconfronteerd vanaf niet-IT-apparaten die op internet zijn aangesloten. Deze week maakte een andere leverancier, Armis, een reeks van drie kritieke zero-day-kwetsbaarheden bekend in smart-UPS-apparaten van APC, een dochteronderneming van Schneider Electric. Er wordt aangenomen dat meer dan 20 miljoen UPS-apparaten - die worden gebruikt als stroomback-up - wereldwijd, daterend uit 2005, de kwetsbaarheden bevatten waarnaar Armis collectief verwijst als TLStorm.
Indien misbruikt, zouden de kwetsbaarheden een externe aanvaller in staat stellen de volledige controle over het SmartUPS-apparaat van APC over te nemen en een reeks kwaadaardige activiteiten uit te voeren, waaronder het in- en uitschakelen van de apparaten of het fysiek vernietigen van het systeem. Armis zei bijvoorbeeld dat het in staat was om de gebreken te misbruiken om een kwetsbaar UPS-apparaat te laten ontbranden en rook te spuwen.
Barak Hadad, hoofd Research bij Armis, zegt dat, aangezien de kwetsbaarheden op afstand kunnen worden misbruikt, aanvallers ze in sommige scenario's kunnen gebruiken om toegang te krijgen tot het interne bedrijfsnetwerk. "Na het betreden van het netwerk kan de aanvaller allerlei soorten aanvallen uitvoeren, waaronder ransomware of opzettelijke sabotage", zegt hij. "Aangezien UPS-apparaten bedrijfskritieke apparaten beschermen tegen stroomuitval, kan het uitschakelen van een UPS ernstige gevolgen hebben."
Volgens Hadad zal de schade die aanvallers via de exploit kunnen aanrichten waarschijnlijk variëren. "Fysieke uitbuiting vereist enig begrip van de interne werking van de UPS", merkt hij op. “De UPS aan- of uitzetten
f was redelijk eenvoudig, maar het veranderen van de golfvorm of het laten opvangen van rook vereiste een dieper niveau van begrip.
- Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
- CryptoHawk. Altcoin-radar. Gratis proefversie.
- Bron: https://www.darkreading.com/vulnerabilities-threats/medical-and-iot-devices-from-more-than-100-vendors-vulnerable-to-attack
