Advertisements
Advertisements
Cyber Security Aktuell

Kritische „Access:7“-Sicherheitslücken in der Lieferkette wirken sich auf Geldautomaten, medizinische und IoT-Geräte aus

Bis zu sieben Sicherheitslücken wurden in der Axeda-Software von PTC aufgedeckt, die bewaffnet werden könnten, um unbefugten Zugriff auf medizinische und IoT-Geräte zu erhalten.

Gemeinsam genannt “Zugang:7,“ die Schwächen – von denen drei als Kritisch eingestuft werden – wirken sich möglicherweise auf mehr als aus 150 Gerätemodelle über 100 verschiedene Hersteller, was ein erhebliches Lieferkettenrisiko darstellt.

Die Axeda-Lösung von PTC umfasst eine Cloud-Plattform, die es Geräteherstellern ermöglicht, Konnektivität herzustellen, um eine breite Palette angeschlossener Maschinen, Sensoren und Geräte über den sogenannten Agenten, der von den OEMs installiert wird, bevor die Geräte verkauft werden, aus der Ferne zu überwachen, zu verwalten und zu warten Kunden.

„Access:7 könnte es Hackern ermöglichen, bösartigen Code aus der Ferne auszuführen, auf vertrauliche Daten zuzugreifen oder die Konfiguration auf medizinischen und IoT-Geräten zu ändern, auf denen Axeda Remote Code und Management Agent von PTC ausgeführt wird“, sagten Forscher von Forescout und CyberMDX in einem heute veröffentlichten gemeinsamen Bericht.

Automatische GitHub-Sicherungen

Von den 100 betroffenen Geräteanbietern gehören 55 % zum Gesundheitswesen, gefolgt von IoT (24 %), IT (8 %), Finanzdienstleistungen (5 %) und Fertigungsindustrie (4 %). Nicht weniger als 54 % der Kunden mit Geräten, auf denen Axeda ausgeführt wird, stammen aus dem Gesundheitssektor.

Neben medizinischen Bildgebungs- und Laborgeräten gehören zu den anfälligen Geräten alles von Geldautomaten, Verkaufsautomaten, Cash-Management-Systemen und Etikettendruckern bis hin zu Barcode-Scansystemen, SCADA-Systemen, Asset-Monitoring- und Tracking-Lösungen, IoT-Gateways und Industrieschneidern.

Die Liste der Mängel ist unten –

  • CVE-2022-25246 (CVSS-Bewertung: 9,8) – Die Verwendung von hartcodierten Anmeldeinformationen im AxedaDesktopServer.exe-Dienst, die die Remote-Übernahme eines Geräts ermöglichen könnten
  • CVE-2022-25247 (CVSS-Bewertung: 9,8) – Ein Fehler in ERemoteServer.exe, der genutzt werden könnte, um speziell gestaltete Befehle zu senden, um Remote Code Execution (RCE) und vollständigen Zugriff auf das Dateisystem zu erhalten
  • CVE-2022-25251 (CVSS-Bewertung: 9,8) – Fehlende Authentifizierung im Agenten Axeda xGate.exe, die verwendet werden könnte, um die Konfiguration des Agenten zu ändern
  • CVE-2022-25249 (CVSS-Punktzahl: 7,5) – Ein Directory-Traversal-Fehler im Agenten Axeda xGate.exe, der es einem entfernten, nicht authentifizierten Angreifer ermöglichen könnte, Lesezugriff auf das Dateisystem auf dem Webserver zu erhalten
  • CVE-2022-25250 (CVSS-Punktzahl: 7,5) – Ein Denial-of-Service (DoS)-Fehler im Axeda xGate.exe-Agenten durch Einfügen eines undokumentierten Befehls
  • CVE-2022-25252 (CVSS-Bewertung: 7,5) – Eine Pufferüberlauf-Schwachstelle in der Komponente Axeda xBase39.dll, die zu einem Denial-of-Service (DoS) führen könnte
  • CVE-2022-25248 (CVSS-Punktzahl: 5,3) – Ein Informationsoffenlegungsfehler im ERemoteServer.exe-Dienst, der das Live-Ereignis-Textprotokoll für nicht authentifizierte Parteien offenlegt

Die erfolgreiche Ausnutzung der Schwachstellen könnte Angreifern die Möglichkeit geben, bösartigen Code aus der Ferne auszuführen, um die volle Kontrolle über Geräte zu übernehmen, auf vertrauliche Daten zuzugreifen, Konfigurationen zu ändern und bestimmte Dienste in den betroffenen Geräten herunterzufahren.

Die Fehler, die alle Versionen des Axeda Agent vor 6.9.3 betreffen, wurden PTC am 10. August 2021 im Rahmen einer koordinierter Offenlegungsprozess Daran waren die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA), das Health Information Sharing and Analysis Center (H-ISAC) und die Food and Drug Administration (FDA) beteiligt.

Verhindern Sie Datenschutzverletzungen

Um die Fehler zu mindern und eine mögliche Ausnutzung zu verhindern, sind die Benutzer empfohlen zu aktualisieren auf Axeda Agent Version 6.9.1 Build 1046, 6.9.2 Build 1049 oder 6.9.3 Build 1051.

Dies ist nicht das erste Mal, dass kritische Sicherheitslücken bekannt werden, die hauptsächlich auf Gesundheitssysteme abzielen. Im Dezember 2020 veröffentlichte CyberMDX „MDhex-Ray,” ein schwerwiegender Fehler in den CT-, Röntgen- und MRT-Bildgebungsprodukten von GE Healthcare, der zur Offenlegung geschützter Gesundheitsinformationen führen könnte.

„Access:7 betrifft eine Lösung, die an Gerätehersteller verkauft wird, die kein eigenes Fernwartungssystem entwickelt haben“, so die Forscher. “Dies macht es zu einer Schwachstelle in der Lieferkette und betrifft daher viele nachgelagerte Hersteller und Geräte.”


💙 Intern: Weil wir unabhängig sind, sowie keinen "unendlichen" Gewinn anstreben, geben wir in jedem Monat ungefähr ein drittel, aller Einnahmen aus Werbung und Spenden an die Katastrophenschutzhilfe. 
Wir freuen uns auch über jede kleine Spende z.B. über PayPal.

Ähnliche Artikel.

1 of 102