Crédit : Dreamstime
Des vulnérabilités critiques dans un logiciel représentatif utilisé pour la gestion à distance peuvent permettre hackers pour exécuter du code et des commandes malveillants sur des milliers de gadgets médicaux et autres types de gadgets des secteurs de la santé, de la production et autres.
Des correctifs ont en fait été fournis par le développeur de l’agent logiciel, mais la plupart des fournisseurs d’appareils concernés devront publier leurs propres mises à jour.
En attendant, les utilisateurs doivent atténuer les dangers en faire une segmentation du réseau et bloquer quelques-uns des ports d’interaction qui peuvent être utilisés pour exploiter les vulnérabilités.
Sept vulnérabilités sur la plateforme Axeda
Sept failles dont l’intensité varie de cruciale à moyenne ont été découvertes sur la plateforme Axeda par des scientifiques de Forescout et CyberMDX. Axeda était une solution autonome, mais elle appartient désormais à la société d’applications logicielles et de services informatiques PTC, qui développe des solutions pour le marché commercial de l’IoT.
La plate-forme Axeda est composée d’un serveur, basé sur le cloud ou en ligne. prémisse, et plusieurs agents logiciels qui permettent la gestion et la surveillance à distance des biens. Ces représentants ont des versions pour Windows et Linux et sont généralement intégrés par les fabricants d’appareils directement dans leurs articles.
Forescout a identifié plus de 150 appareils potentiellement vulnérables utilisant Axeda provenant de plus de 100 producteurs différents. Plus de la moitié des appareils sont utilisés dans les soins de santé, en particulier les appareils de laboratoire, les appareils chirurgicaux, la perfusion, la radiothérapie, l’imagerie et plus encore.
D’autres ont été trouvés dans les services monétaires, la vente au détail, la fabrication et d’autres marchés et consistent en des distributeurs automatiques de billets. , distributeurs automatiques, systèmes de gestion de trésorerie, imprimantes d’étiquettes, systèmes de lecture de codes-barres, systèmes SCADA, solutions de surveillance et de suivi de la possession, passerelles IoT et machines telles que les découpeurs commerciaux.
Les sept vulnérabilités, que Forescout a en fait appelées Access :7 incluent trois éléments cruciaux pouvant conduire à l’exécution de code à distance.
Une vulnérabilité (CVE-2022-25251) provient de commandes non authentifiées présentes dans l’agent Axeda xGate.exe qui permettent à un agresseur de récupérer des informations sur un appareil et de modifier la configuration de l’agent. En modifiant la configuration, un attaquant pourrait pointer l’agent vers un serveur qu’il gère et pirater la fonctionnalité.
Un autre défaut crucial (CVE-2022-25246) réside dans la partie AxedaDesktopServer.exe, qui est basée sur l’outil de bureau à distance UltraVNC. Ce service n’est pas activé dans tous les cas, mais lorsqu’il est autorisé, il utilise un mot de passe codé en dur.
La partie elle-même ne provient pas de PTC avec des informations d’identification codées en dur, mais elle doit plutôt être définie lors de la mise en œuvre par le fournisseur. Ce qui se produit généralement, c’est que certains fournisseurs définissent exactement le même mot de passe pour toute leur gamme de produits, informe Daniel dos Santos, responsable de la recherche sur la sécurité chez Forescout. Ainsi, tous les appareils utilisant Axeda dans le monde n’auront pas le même mot de passe, mais les appareils d’un certain type du même fournisseur pourraient le faire.
La troisième vulnérabilité critique (CVE-2022-25247) réside dans une autre Composant Axeda appelé EremoteServer.exe. Il s’agit d’un outil de déploiement qui doit uniquement être utilisé par le fournisseur lors de la configuration d’un agent pour une gamme de produits, mais dans certains cas, l’outil n’est pas effacé après cette opération et est publié avec l’agent.
La procédure prise en charge par le service ERemoteServer sur le port 3076 prend en charge les actions suivantes : télécharger un fichier sur le gadget, soumettre un fichier à partir du gadget, exécuter le programme, questionner les informations sur le répertoire/fichier, arrêter ERemoteServer, arrêter xGate et récupérer la version du Représentant d’Axeda, décrivent les chercheurs. Ces actions permettent l’exécution de code à distance.
D’autres vulnérabilités consistent en CVE-2022-25252, un problème de déni de service dans la bibliothèque xBase39.dll qui peut entraîner un plantage du service représentatif via un demande préjudiciable ; CVE-2022-25248, une fuite de détails via le journal des événements en direct proposé par ERemoteServer sans authentification sur le port 3077 ; CVE-2022-25250, un problème de déni de service qui provient du fait que xGate accepte certaines commandes sur le port 3011 sans authentification ; et CVE-2022-25249, un défaut de traversée du site d’annuaire dans le service Web fourni par xGate sur les ports 56120 et 56130 qui pourrait permettre à un attaquant de lire n’importe quel fichier sur le disque auquel le représentant a accès.
Exploitation ces vulnérabilités nécessitent qu’un adversaire se trouve exactement sur le même segment de réseau que les appareils vulnérables, mais cela peut être accompli de nombreuses manières, de l’infection d’un poste de travail au moyen de harponnage à l’exploitation des vulnérabilités dans les services accessibles au public, puis en effectuant un mouvement latéral .
Dans le secteur de la santé, il existe de nombreux vecteurs d’attaque possibles, à savoir les réseaux Wi-Fi invités, les prises réseau et les gadgets connectés au réseau auxquels les visiteurs peuvent accéder, les sites Web publics utilisés pour les consultations ou le partage d’informations, etc. , ont déclaré les scientifiques de Forescout dans leur rapport.
Atténuation des vulnérabilités d’Axeda
PTC a en fait publié des variantes mises à jour de l’application logicielle de l’agent, mais la majorité des utilisateurs devront attendre que leurs fabricants d’appareils lancent les mises à jour. Les variantes représentatives mises à jour sont la version 6.9.1 build 1046, la variante 6.9.2 build 1049 et la version 6.9.3 build 1051.
Les fournisseurs d’appareils doivent également configurer le représentant Axeda et le service ADS pour n’écouter que sur l’hôte local l’interface utilisateur 127.0.0.1 et évitez d’exposer les ports ouverts au réseau régional et supprimez tous les utilitaires de publication des gadgets de production.
Les utilisateurs doivent analyser et stocker tous leurs gadgets qui exécutent des agents Axeda, puis implémenter séparation appropriée du réseau d’eux empêchant la communication avec des systèmes ou des serveurs non autorisés.
Ils devraient également envisager d’obstruer quelques-uns des ports si les performances qu’ils offrent ne sont pas nécessaires : 56120 et 56130, le service Web de l’agent Axeda ; 3011, qui peut être utilisé pour envoyer un signal d’arrêt au représentant ; 3031, pour la configuration de l’agent ; 5920 et 5820 pour le service de bureau à distance VNC en option ; 3077, pour le journal des événements qui n’est censé être utilisé que pendant l’implémentation et 3076, qui fournit l’exécution de code et l’accès au système de fichiers via l’outil de déploiement ERemoteServer.
» Si vous n’en avez pas besoin pour être rendu possible, il est plus facile de suivre le trafic sur ces ports, car vous devez anticiper un type de trafic extrêmement routinier là-bas », explique dos Santos. » Donc, je pense que du côté intense, même si les correctifs sont difficiles, l’atténuation est plus immédiate dans ce cas. «
Forescout a alerté CISA, le Health Details Sharing and Analysis Center (H-ISAC) et la FDA. La coordination de la divulgation a pris 210 jours, et jusqu’à présent, environ 10 fournisseurs ont confirmé qu’ils pourraient être concernés, mais le nombre réel devrait être beaucoup plus élevé.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
