严重的“Access:7”供应链漏洞影响100多家厂商150多款联网设备等产品

2022年3月9日19:35:16评论154 views字数 3222阅读10分44秒阅读模式

严重的“Access:7”供应链漏洞影响100多家厂商150多款联网设备等产品聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

PTC Axeda 软件中被指存在7个漏洞，可用于获得对医疗设备和物联网设备的越权访问权限。

存在严重的供应链安全风险

这7个漏洞被统一称为“Access:7”，其中3个是严重级别，或影响100多家不同厂商生产的150多种设备机型，存在重大供应链安全风险。

PTC Axeda 解决方案中包括一个云平台，可使设备制造商通过OEM预装的代理建立连接，远程监控、管理和服务大量联网设备、传感器和设备。

Forescout 公司和CyberMDX 公司的安全研究员联合发布报告指出，“Access:7 可使黑客远程执行恶意代码、访问敏感数据或修改运行PTC Axeda远程代码和管理代理的医疗和物联网设备上的配置。”

在受影响的100个设备厂商中，55%的厂商从事医疗行业，其次是物联网 (24%)、IT (8%)、金融服务 (5%) 和制造业 (4%)。医疗行业中至少有54%的客户设备运行的是 Axeda。

影响大量设备

除了医疗成像和实验室设备外，易受攻击的设备还包括ATM自动取款机、自动贩卖机、现金管理系统、标签打印机和条形码扫描系统、SCADA系统、资产监控和追踪解决方案、物联网网管和工业级细切机。

7个缺陷

这7个缺陷如下：

CVE-2022-25246（CVSS：9.8）：在 AxedaDesktopServer.exe 服务中使用硬编码凭据，可导致设备遭远程接管。
CVE-2022-25247:（CVSS：9.8），位于 ERemoteServer.exe 中，可被用于发送特殊构造的命令，获得远程代码执行权限和完整的文件访问权限。
CVE-2022-25251（CVSS：9.8）：Axeda xGate.exe 代理中缺少认证，该漏洞可用于修改代理的配置。
CVE-2022-25249（CVSS：7.5）：位于Axeda xGate.exe 中的目录遍历漏洞，可使远程未认证攻击者获得web 服务器上的文件系统访问权限。
CVE-2022-25250（CVSS：7.5）：位于Axeda xGate.exe 代理中的拒绝服务漏洞，可通过注入未记录命令方式触发。
CVE-2022-25252（CVSS：7.5）：位于Axeda xBase39.dll 组件中的缓冲区溢出漏洞，可导致拒绝服务。
CVE-2022-25248（CVSS：5.3）：位于 ERemoteServer.exe 服务中的信息泄露漏洞，可将实时事件文本日志暴露给未认证方。