点击上方蓝字“Ots安全”一起玩耍
Vedere Labs 安全研究主管
Daniel dos Santos
Access:7
首席研究员Elad Luz
Forescout 的Vedere Labs与 CyberMDX 合作发现了一组影响 PTC 的 Axeda 代理的七个新漏洞,我们统称为Access:7。其中三个漏洞被 CISA 评为严重漏洞,因为它们可以使黑客远程执行恶意代码并完全控制设备、访问敏感数据或更改受影响设备的配置。
Axeda 解决方案使设备制造商能够远程访问和管理连接的设备。受影响的代理人在医疗保健领域最受欢迎,但也出现在其他行业,如金融服务和制造业。来自 100 多家供应商的 150 多种可能受影响的设备的详细列表突出了这些漏洞的重要性。该列表包含几个医学成像和实验室设备。
物联网设备使用各种各样的操作系统、硬件和软件。通常,物联网制造商不允许客户在其设备上安装软件,包括安全代理。对于 Access:7,PTC 依靠物联网制造商在将其物联网设备以通常称为原始设备制造商 (OEM) 的方式出售给客户之前安装 Axeda 代理。
下表显示了新发现的漏洞。
CVE ID | 描述 | 影响 | CVSSv3.1 评分 |
---|---|---|---|
CVE-2022-25249 | Axeda xGate.exe 代理允许通过其 Web 服务器上的目录遍历进行无限制的文件系统读取访问。 | REC | 7.5 |
CVE-2022-25250 | 未经身份验证的攻击者可以通过未记录的命令远程关闭 Axeda xGate.exe 代理。 | dos | 7.5 |
CVE-2022-25251 | Axeda xGate.exe 代理支持一组未经身份验证的命令来检索有关设备的信息并修改代理的配置。 | RCE | 9.4 |
CVE-2022-25246 | AxedaDesktopServer.exe 服务使用硬编码凭据来启用对设备的完全远程控制。 | RCE | 9.8 |
CVE-2022-25248 | ERemoteServer.exe 服务向未经身份验证的攻击者公开实时事件文本日志。 | 信息披露 | 5.3 |
CVE-2022-25247 | ERemoteServer.exe 服务允许完整的文件系统访问和远程代码执行。 | RCE | 9.8 |
CVE-2022-25252 | 在处理请求时,所有使用 xBase39.dll 的 Axeda 服务都可能由于缓冲区溢出而崩溃。 | dos | 7.5 |
Access 的影响:物联网设备上的 7 个供应链漏洞
Forescout列出了使用 Axeda 解决方案的 100 多家供应商和 150 台设备。使用 Vedere Labs 全球网络情报仪表板中的匿名客户数据,我们已经看到超过 2,000 台独特的设备在其网络上运行 Axeda。通过检查这些来源,我们可以了解漏洞的潜在影响。
下图说明了我们设备湖中使用 Axeda 的供应商分布。其中超过一半 (55%) 属于医疗保健行业,其次是近四分之一 (24%) 开发物联网解决方案。
从设备部署的角度来看,我们再次看到超过一半 (54%) 的运行 Axeda 设备的客户属于医疗保健行业。
下图说明了运行 Axeda 的医疗设备类型的分布。发现该代理在成像 (36%) 和实验室 (31%) 机器中比在任何其他类型的机器中更受欢迎。
Axeda 被开发为物联网设备的云平台;因此,它存在于医疗保健以外的各种应用中。其他行业中使用的易受攻击的设备包括 ATM、自动售货机、现金管理系统、标签打印机、条形码扫描系统、SCADA 系统、资产监控和跟踪解决方案、物联网网关和工业切割机等机器。
访问:针对网络运营商的 7 项缓解建议
对 Access:7 的全面保护需要修补运行易受攻击版本的 Axeda 组件的设备。PTC 已发布其官方补丁,使用此软件的设备制造商应向客户提供自己的更新。
在技术报告中,我们讨论了设备制造商的缓解策略。对于网络运营商,我们建议如下:
-
发现和清点运行 Axeda 的设备。可以在此处找到不断更新的受影响设备型号列表。
-
实施分段控制和适当的网络卫生,以减轻易受攻击设备的风险。如果无法修补或可以修补之前,请限制外部通信路径并在区域中隔离或包含易受攻击的设备。特别是,考虑阻止下面列出的一个或多个易受攻击的端口,以便在您组织中的任何受影响的设备上使用。端口号与其默认值一起列出;但是,制造商可能会对它们进行不同的配置。
CVE 端口号 描述
CVE-2022-25249 56120, 56130 主代理服务的Web服务器
CVE-2022-25250 3011 主代理服务关闭信号
CVE-2022-25251 3031 主代理服务配置
CVE-2022-25246 5920, 5820 VNC代理
CVE-2022-25248 3077 部署配置中使用的事件日志
CVE-2022-25247 3076 部署配置中使用的代码执行和
文件系统访问
-
监控受影响设备制造商发布的渐进式补丁,并为您的易受攻击的资产清单制定补救计划,平衡业务风险和业务连续性要求。
-
监控所有网络流量中是否存在试图利用这些漏洞的恶意数据包。阻止已知的恶意流量或至少提醒网络运营商其存在。
原文始发于微信公众号(Ots安全):新的供应链漏洞影响医疗和物联网设备
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论