Volgens het beveiligingsbedrijf Forescout worden veel IoT en medische apparaten getroffen door zeven potentieel ernstige kwetsbaarheden die zijn ontdekt in veelgebruikte software voor beheer op afstand.
Het onderzoek richtte zich op het Axeda-platform van IIoT-solutions provider PTC. Het werd uitgevoerd door medewerkers van CyberMDX, een cyberbeveiligingsbedrijf voor medische apparatuur dat onlangs werd... overgenomen door Forescout.
Axeda is ontworpen om apparaatfabrikanten in staat te stellen op afstand toegang te krijgen tot aangesloten apparaten en deze te beheren, inclusief machines en sensoren. CyberMDX startte zijn onderzoek nadat het potentiële beveiligingsproblemen had opgemerkt met betrekking tot de Axeda-agentcomponent op klantsystemen.
De Axeda-agent is geïnstalleerd op apparaten en communiceert met het Adexa-platform (server) om telemetrie te verzenden en voor service op afstand.
De analyse van CyberMDX leidde tot de ontdekking van zeven kwetsbaarheden in de toeleveringsketen, gezamenlijk "Access:7" genoemd. Drie van de fouten kunnen worden misbruikt voor het uitvoeren van externe code en ze zijn als "kritiek" beoordeeld. Drie andere problemen - twee kunnen worden misbruikt voor DoS-aanvallen en één voor het verkrijgen van informatie - zijn beoordeeld als "zeer ernstig".
[ LEES: 100 TCP/IP-stack-kwetsbaarheden gevonden tijdens onderzoeksproject van 18 maanden ]
Er is vastgesteld dat de kwetsbaarheden meer dan 150 apparaatmodellen van meer dan 100 fabrikanten treffen. Een meerderheid van de getroffen leveranciers bevindt zich in de gezondheidszorg (55%), gevolgd door IoT (24%), IT (8%), financiële dienstverlening (5%) en productie (4%).
Exploitatie van deze kwetsbaarheden kan een aanvaller in staat stellen om de eerste toegang tot een netwerk te krijgen, potentieel gevoelige gegevens te exfiltreren of getroffen apparaten te verstoren, wat in het geval van medische systemen ernstige gevolgen kan hebben.
Axeda heeft het einde van zijn levensduur bereikt, maar de leverancier heeft patches uitgebracht die apparaatfabrikanten aan hun klanten kunnen leveren. Er zijn ook oplossingen en oplossingen beschikbaar.
Volgens het cyberbeveiligingsbedrijf zijn de kwetsbaarheden bekendgemaakt 210 dagen nadat de leverancier voor het eerst op de hoogte was gesteld. Amerikaanse overheidsinstanties, waaronder: CISA en de FDA zijn ook geïnformeerd over de gebreken, evenals de actieve klanten van PTC.
"PTC heeft geen indicatie of is er niet van op de hoogte gebracht dat een van deze kwetsbaarheden is of wordt uitgebuit", zei de leverancier in zijn eigen woorden. adviserend.
Aanvullende informatie over de Access:7-kwetsbaarheden is beschikbaar in een rapport op de website van Forescout.
Zie ook: Miljoenen APC Smart UPS-apparaten kunnen op afstand worden gehackt en beschadigd
Zie ook: Twee dozijn UEFI-kwetsbaarheden hebben invloed op miljoenen apparaten van grote leveranciers
Zie ook: Meer dan 100 GE Healthcare-apparaten getroffen door kritieke kwetsbaarheid
Eduard Kovacs (@EduardKovacs) is een bijdragende redacteur bij SecurityWeek. Hij werkte twee jaar als IT-docent op een middelbare school voordat hij een carrière in de journalistiek begon als Softpedia's beveiligingsjournaalverslaggever. Eduard heeft een bachelordiploma in industriële informatica en een masterdiploma in computertechnieken toegepast in elektrotechniek.
Tags:
