新的供应链漏洞影响医疗和物联网设备

Vedere Labs 安全研究主管

Daniel dos Santos

Access:7 

首席研究员Elad Luz 

Forescout 的Vedere Labs与 CyberMDX 合作发现了一组影响 PTC 的 Axeda 代理的七个新漏洞，我们统称为Access:7。其中三个漏洞被 CISA 评为严重漏洞，因为它们可以使黑客远程执行恶意代码并完全控制设备、访问敏感数据或更改受影响设备的配置。

Axeda 解决方案使设备制造商能够远程访问和管理连接的设备。受影响的代理人在医疗保健领域最受欢迎，但也出现在其他行业，如金融服务和制造业。来自 100 多家供应商的 150 多种可能受影响的设备的详细列表突出了这些漏洞的重要性。该列表包含几个医学成像和实验室设备。

物联网设备使用各种各样的操作系统、硬件和软件。通常，物联网制造商不允许客户在其设备上安装软件，包括安全代理。对于 Access:7，PTC 依靠物联网制造商在将其物联网设备以通常称为原始设备制造商 (OEM) 的方式出售给客户之前安装 Axeda 代理。

下表显示了新发现的漏洞。

Access 的影响：物联网设备上的 7 个供应链漏洞

Forescout列出了使用 Axeda 解决方案的 100 多家供应商和 150 台设备。使用 Vedere Labs 全球网络情报仪表板中的匿名客户数据，我们已经看到超过 2,000 台独特的设备在其网络上运行 Axeda。通过检查这些来源，我们可以了解漏洞的潜在影响。

下图说明了我们设备湖中使用 Axeda 的供应商分布。其中超过一半 (55%) 属于医疗保健行业，其次是近四分之一 (24%) 开发物联网解决方案。

从设备部署的角度来看，我们再次看到超过一半 (54%) 的运行 Axeda 设备的客户属于医疗保健行业。

下图说明了运行 Axeda 的医疗设备类型的分布。发现该代理在成像 (36%) 和实验室 (31%) 机器中比在任何其他类型的机器中更受欢迎。

Axeda 被开发为物联网设备的云平台；因此，它存在于医疗保健以外的各种应用中。其他行业中使用的易受攻击的设备包括 ATM、自动售货机、现金管理系统、标签打印机、条形码扫描系统、SCADA 系统、资产监控和跟踪解决方案、物联网网关和工业切割机等机器。

访问：针对网络运营商的 7 项缓解建议

对 Access:7 的全面保护需要修补运行易受攻击版本的 Axeda 组件的设备。PTC 已发布其官方补丁，使用此软件的设备制造商应向客户提供自己的更新。

在技术报告中，我们讨论了设备制造商的缓解策略。对于网络运营商，我们建议如下：

CVE   端口号 描述

CVE-2022-25249 56120, 56130 主代理服务的Web服务器

CVE-2022-25250 3011 主代理服务关闭信号

CVE-2022-25251 3031 主代理服务配置

CVE-2022-25246 5920, 5820 VNC代理

CVE-2022-25248 3077 部署配置中使用的事件日志

CVE-2022-25247 3076 部署配置中使用的代码执行和

文件系统访问