Медицинские устройства и устройства IoT от более чем 100 поставщиков уязвимы для атак



Более 150 устройств Интернета вещей (IoT), в том числе многие из тех, что используются в сфере здравоохранения, от более чем 100 компаний подвергаются повышенному риску атаки из-за набора из семи уязвимостей в сторонних компонентах удаленного доступа в устройствах.

Три ошибки оцениваются как критические, поскольку они позволяют злоумышленникам удаленно выполнять вредоносный код на уязвимых устройствах, чтобы получить над ними полный контроль. Остальные уязвимости имеют рейтинг серьезности от среднего до высокого и дают злоумышленникам возможность украсть данные или выполнить атаки типа «отказ в обслуживании».

Уязвимости присутствуют в нескольких версиях агента PTC Axeda и PTC Desktop Server — технологий, которые многие поставщики IoT внедряют в свои устройства для обеспечения удаленного доступа и управления. Исследователи из Forescout’s Vedere Labs и CyberMDX, обнаружившие уязвимости, отслеживают их вместе как «Доступ: 7».

В отчете, обобщающем их результаты на этой неделе, исследователи описали глючный компонент как особенно распространенный в подключенных к Интернету устройствах, используемых в секторе здравоохранения, таких как медицинская визуализация, лаборатория, лучевая терапия и хирургические технологии. Forescout сообщила, что анонимное сканирование клиентских сетей выявило около 2000 уникальных устройств с уязвимыми версиями Axeda. Из них 55 % были развернуты в организациях здравоохранения, 24 % — в организациях, разрабатывающих продукты IoT, 8 % — в ИТ, 5 % — в среде финансовых услуг, 4 % — в производстве и 4 % — в других вертикалях.

Среди затронутых устройств — помимо технологий, связанных со здравоохранением, — банкоматы, системы SCADA, торговые автоматы, системы управления денежными средствами, шлюзы IoT и технологии мониторинга активов. По словам Forescout, все версии технологии Axeda ниже 6.9.3 уязвимы, и PTC выпустила исправления для всех уязвимостей.

Даниэль душ Сантос, руководитель отдела исследований в области безопасности в Forescout, говорит, что уязвимости являются доказательством того, что инструменты удаленного управления представляют опасность не только в мире ИТ, как показали атаки, подобные атаке на Kaseya в прошлом году, но также и для IoT и подключенных к Интернету. медицинские технологии.

«Поэтому важно, чтобы организации имели перечень устройств, которыми управляют удаленно, и понимали, как они управляются, — говорит он. «Организации должны сначала определить уязвимые устройства в сети, а затем убедиться, что они не подвержены этим уязвимостям, сегментируя свои сети и ограничивая трафик через уязвимые порты». Затем они должны исправить устройства, когда это возможно, говорит Дос Сантос.

В набор из семи уязвимостей, обнаруженных Forescout и CyberMDX, входят уязвимости, связанные с использованием жестко закодированных учетных данных, отсутствием аутентификации, неправильным ограничением имени пути и неправильной проверкой или обработкой исключений.

Поставщики сообщили PTC о трех критических ошибках удаленного выполнения кода: CVE-2022-25251 в агенте Axeda xGate.exe, CVE-2022-25246 в AxedaDesktopServer.exe и CVE-2022-25247 в службе ERemoteServer.exe.

Уязвимости затрагивают различные компоненты агента, говорит Дос Сантос. Это включает в себя инструмент настройки, который не должен присутствовать на производственных устройствах, инструмент настольного сервера, компонент шлюза и общую библиотеку. «Поэтому вполне возможно — и это часто бывает — что не все уязвимости будут присутствовать на устройстве», — говорит он.

Наиболее распространенными уязвимостями будут те, которые затрагивают шлюз и библиотеку. Это: CVE-2022-25249, CVE-2022-25250; CVE-2022-25251 и CVE-2022-25252, — говорит душ Сантуш.

Консультации по СНГ
Агентство США по кибербезопасности и инфраструктуре (CISA) описало уязвимости Get admission to: 7 как затрагивающие организации в нескольких критических секторах инфраструктуры в США и во всем мире. «Успешная эксплуатация этих уязвимостей — известных под общим названием «Доступ: 7» — может привести к полному доступу к системе, удаленному выполнению кода, чтению/изменению конфигурации, доступу для чтения к файловой системе, доступу к информации журнала или отказу в обслуживании. “, – заявила компания CISA.

Дос Сантос говорит, что вероятность потенциальных атак, с которыми организации сталкиваются из-за уязвимостей, будет зависеть от секторов, в которых они работают. Организации здравоохранения, вероятно, будут подвергаться большему физическому воздействию, чем другие секторы, потому что в больницах много общественных мест и много взаимодействий с пациентами, требующих использования ИТ-систем. «Однако медицинские устройства редко подвергаются воздействию Интернета, что чаще встречается в других секторах, таких как финансовые услуги», — говорит он.

Дос Сантос говорит, что злоумышленникам потребуется какой-то предварительный локальный доступ к сети, чтобы использовать уязвимости Get admission to:7. Но для злоумышленников, которые имеют локальный доступ — например, с помощью фишинга или использования другой уязвимости — недостатки легко использовать, говорит он. Устройства можно идентифицировать в сети по конкретным открытым портам или сетевым отпечаткам пальцев, например по HTTP-баннерам, что также не составляет труда.

«Типы атак, которые можно осуществить с помощью этих уязвимостей, одинаковы в разных организациях, но их влияние различно», — говорит Дос Сантос. «Например, кража данных в здравоохранении имеет другое значение, чем кража данных в организации, предоставляющей финансовые услуги».

Forescout опубликовал технический отчет, содержащий полную информацию о недостатках, а также сообщение в блоге.

Уязвимости Get admission to:7 — еще одно напоминание о часто недооцениваемом риске, с которым организации сталкиваются из-за устройств, не связанных с ИТ, подключенных к Интернету. Буквально на этой неделе другой поставщик, Armis, раскрыл набор из трех критических уязвимостей нулевого дня в устройствах Sensible-UPS от APC, дочерней компании Schneider Electrical. Считается, что более 20 миллионов устройств ИБП, которые используются в качестве резервных источников питания, по всему миру, начиная с 2005 года, содержат уязвимости, которые Армис в совокупности называет TLStorm.

В случае эксплуатации эти уязвимости позволят удаленному злоумышленнику получить полный контроль над устройством APC SmartUPS и выполнить ряд злонамеренных действий, включая включение и выключение устройств или физическое уничтожение системы. Armis, например, заявила, что смогла использовать недостатки, чтобы заставить уязвимое устройство ИБП загореться и извергнуть дым.

Барак Хадад, глава исследовательского отдела Armis, говорит, что, поскольку уязвимости можно использовать удаленно, в некоторых сценариях злоумышленники смогут использовать их для проникновения во внутреннюю корпоративную сеть. «После входа в сеть злоумышленник может совершать всевозможные атаки, включая программы-вымогатели или преднамеренный саботаж», — говорит он. «Поскольку устройства ИБП защищают критически важные устройства от сбоев питания, отключение ИБП может иметь серьезные последствия».

По словам Хадада, ущерб, который злоумышленники могут нанести с помощью эксплойта, скорее всего, будет разным. «Физическая эксплуатация требует определенного уровня понимания внутренней работы ИБП», — отмечает он. «Включить или выключить ИБП было довольно просто, но изменение формы сигнала или создание дыма требовало более глубокого понимания».

https://cyberxhack.org/