Критические уязвимости в программном агенте, используемом для удаленного управления, могут позволить хакерам выполнять вредоносный код и команды на тысячах медицинских и других типов устройств в сфере здравоохранения, производства и других отраслей. Исправления были выпущены разработчиком программного агента, но большинству затронутых поставщиков устройств необходимо будет выпустить свои собственные обновления.
Тем временем пользователи должны снизить риски, выполнив сегментацию сети и заблокировав некоторые коммуникационные порты, которые могут использоваться для использования уязвимостей.
Семь уязвимостей на платформе Axeda
Исследователи из Forescout и CyberMDX обнаружили в платформе Axeda семь недостатков по степени серьезности от критической до средней. Axeda была автономным решением, но теперь принадлежит компании PTC, занимающейся программным обеспечением и услугами, которая разрабатывает решения для рынка промышленного IoT.
Платформа Axeda состоит из сервера, облачного или локального, и нескольких программных агентов, позволяющих осуществлять удаленное управление и мониторинг активов. Эти агенты имеют версии как для Home windows, так и для Linux и обычно интегрируются производителями устройств непосредственно в свои продукты.
Forescout выявил более 150 потенциально уязвимых устройств, использующих Axeda, от более чем 100 различных производителей. Более половины устройств используются в здравоохранении, в частности, лабораторное оборудование, хирургическое оборудование, инфузионные системы, лучевая терапия, визуализация и многое другое. Другие были обнаружены в сфере финансовых услуг, розничной торговли, производства и других отраслях и включают банкоматы, торговые автоматы, системы управления денежными средствами, принтеры этикеток, системы сканирования штрих-кодов, системы SCADA, решения для мониторинга и отслеживания активов, шлюзы IoT и такие машины, как промышленные резаки.
Семь уязвимостей, которые Forescout назвала Get entry to:7, включают три критические, которые могут привести к удаленному выполнению кода. Одна уязвимость (CVE-2022-25251) связана с наличием в агенте Axeda xGate.exe команд без проверки подлинности, которые позволяют злоумышленнику получить информацию об устройстве и изменить конфигурацию агента. Изменив конфигурацию, злоумышленник может указать агенту на сервер, которым он управляет, и захватить функциональность.
Еще одна критическая уязвимость (CVE-2022-25246) находится в компоненте AxedaDesktopServer.exe, основанном на инструменте удаленного рабочего стола UltraVNC. Эта служба включается не во всех случаях, но там, где она включена, используется жестко закодированный пароль.
Сам компонент не поступает от PTC с жестко закодированными учетными данными, а скорее должен быть установлен поставщиком во время развертывания. Часто случается так, что некоторые поставщики устанавливают один и тот же пароль для всей линейки своих продуктов, говорит Даниэль дос Сантос, руководитель отдела исследований в области безопасности в Forescout. Таким образом, не все устройства в мире, использующие Axeda, будут иметь один и тот же пароль, но устройства определенного типа от одного и того же поставщика могут.
Третья критическая уязвимость (CVE-2022-25247) находится в еще одном компоненте Axeda под названием EremoteServer.exe. Это инструмент развертывания, который должен использоваться только производителем при настройке агента для линейки продуктов, но в некоторых случаях инструмент не удаляется после этой операции, а развертывается вместе с агентом.
Протокол, поддерживаемый службой ERemoteServer через порт 3076, поддерживает следующие действия: загрузка файла на устройство, загрузка файла с устройства, запуск программы, запрос информации о каталоге/файле, завершение работы ERemoteServer, завершение работы xGate и получение версии Агент Axeda, объясняют исследователи. Эти действия разрешают удаленное выполнение кода.
Другие уязвимости включают CVE-2022-25252, проблему отказа в обслуживании в библиотеке xBase39.dll, которая может привести к сбою службы агента из-за вредоносного запроса; CVE-2022-25248, утечка информации через журнал событий в реальном времени, предоставленный ERemoteServer, без аутентификации на порту 3077; CVE-2022-25250, проблема отказа в обслуживании, возникающая из-за того, что xGate принимает определенные команды через порт 3011 без аутентификации; и CVE-2022-25249, уязвимость обхода каталога в веб-службе, предоставляемой xGate через порты 56120 и 56130, которая может позволить злоумышленнику прочитать любой файл на диске, к которому у агента есть доступ.
Использование этих уязвимостей требует, чтобы злоумышленник находился в том же сегменте сети, что и уязвимые устройства, но этого можно добиться разными способами: от заражения рабочей станции с помощью целевого фишинга до использования уязвимостей в общедоступных службах с последующим перемещением в горизонтальном направлении.
В секторе здравоохранения существует множество потенциальных векторов атак, включая гостевые сети Wi-Fi, сетевые розетки и подключенные к сети устройства, к которым могут получить доступ посетители, общедоступные порталы, используемые для встреч или обмена данными, и многое другое, говорится в отчете исследователей Forescout.
Устранение уязвимостей Axeda
Компания PTC выпустила обновленные версии программного обеспечения агента, но большинству пользователей придется подождать, пока производители своих устройств не выпустят обновления. Обновленные версии агента: версия 6.9.1, сборка 1046, версия 6.9.2, сборка 1049 и версия 6.9.3, сборка 1051. Поставщики устройств также должны настроить агент Axeda и службу ADS так, чтобы они прослушивали только локальный интерфейс 127.0.0.1 и предотвращали раскрытие откройте порты в локальную сеть и удалите все утилиты развертывания с производственных устройств.
Пользователи должны сканировать и инвентаризировать все свои устройства, на которых работают агенты Axeda, а затем обеспечить надлежащую сегментацию их сети, предотвращающую связь с неавторизованными системами или серверами. Им также следует рассмотреть возможность блокировки некоторых портов, если предоставляемая через них функциональность не нужна: 56120 и 56130, веб-сервис для агента Axeda; 3011, который можно использовать для отправки агенту сигнала отключения; 3031 для конфигурации агента; 5920 и 5820 для дополнительной службы удаленного рабочего стола VNC; 3077 для журнала событий, который предполагается использовать только во время развертывания, и 3076, который обеспечивает выполнение кода и доступ к файловой системе через инструмент развертывания ERemoteServer.
«Если вам не нужно, чтобы они были включены, проще контролировать трафик на этих портах, потому что вы должны ожидать там очень регулярный тип трафика», — говорит душ Сантос. «Итак, я думаю, что с положительной стороны, даже если исправление сложно, в этом случае смягчение последствий является более немедленным».
Компания Forescout уведомила CISA, Центр обмена и анализа медицинской информации (H-ISAC) и FDA. Координация раскрытия информации заняла 210 дней, и на данный момент около 10 поставщиков подтвердили, что они могут быть затронуты, но ожидается, что фактическое число будет намного больше.
© 2022 IDG Communications, Inc.
https://cyberxhack.org/