Forescout的Vedere实验室在伙伴关系CyberMDX,发现一组七个新漏洞影响PTC Axeda代理,我们集体打电话访问:7。三个漏洞被中钢协额定至关重要,因为他们可以让黑客远程执行恶意代码和充分的控制设备,访问敏感数据或改变影响设备的配置。
Axeda解决方案使设备制造商能够远程访问和管理连接设备。影响代理是最受欢迎的医疗也出现在其他行业,比如金融服务业和制造业。一个详细的列表100 + 150 +可能受到影响的设备的供应商强调了意义的漏洞。列表中包含几个医学影像和实验室设备。
物联网设备使用各种操作系统、硬件和软件。一般来说,物联网制造商不允许客户安装软件,包括安全人员,在他们的设备上。在访问:7,PTC取决于物联网制造商安装Axeda代理在物联网设备卖给客户之前是什么通常被称为原始设备制造商(OEM)的方法。
下表显示了新发现的漏洞。行彩色根据CVSS分数:黄色为中等或高和红色的关键。
CVE ID |
描述 |
的潜在影响 |
CVSSv3.1得分 |
cve - 2022 - 25249 |
的Axeda xGate。exe代理允许无限制的文件系统读访问通过web服务器目录遍历。 |
信息披露 |
7.5 |
cve - 2022 - 25250 |
的Axeda xGate。exe代理可以被关闭,未经过身份验证的远程攻击者通过一个非法命令。 |
DoS |
7.5 |
cve - 2022 - 25251 |
的Axeda xGate。exe代理支持一组未经身份验证的命令来检索信息设备和修改代理的配置。 |
远端控制设备 |
9.4 |
cve - 2022 - 25246 |
AxedaDesktopServer。exe服务使用硬编码的证书,使完整的远程控制装置。 |
远端控制设备 |
9.8 |
cve - 2022 - 25248 |
ERemoteServer。exe服务公开了一个生活事件文本日志未经身份验证的攻击者。 |
信息披露 |
5.3 |
cve - 2022 - 25247 |
ERemoteServer。exe服务允许完整的文件系统访问和远程代码执行。 |
远端控制设备 |
9.8 |
cve - 2022 - 25252 |
所有使用xBase39 Axeda服务。dll可以处理请求时由于缓冲区溢出坠毁。 |
DoS |
7.5 |
所有版本的Axeda代理以下6.9.3受到影响,和Axeda发布了补丁的漏洞。更详细的弱点和他们的剥削是可用的技术报告。
访问:7的影响供应链物联网设备上的漏洞
Forescout填充了150多100年供应商和设备列表使用Axeda解决方案。使用匿名客户数据在全球网络情报仪表板Vedere实验室,2000多个独特的设备上运行Axeda他们的网络。通过检查这些来源,漏洞的潜在影响可能是习得的。
下图说明了Forescout设备供应商的分布使用Axeda的湖。超过一半的人(55%)属于医疗行业,紧随其后的是近四分之一(24%)开发物联网解决方案。
从设备部署的角度来看,又有超过一半(54%)的客户提供设备运行Axeda在医疗保健行业。
下图说明了医疗设备的分布类型Axeda运行。代理被发现更受欢迎在成像(36%)和实验室(31%)比任何其他类型的机器。
Axeda是作为物联网云平台开发的设备;因此,见于多种应用程序以外的医疗保健。脆弱的设备用于其他行业包括自动取款机、自动售货机、现金管理系统、标签打印机、条形码扫描系统、SCADA系统、资产监控和跟踪解决方案,物联网网关和机器工业刀具等。
访问:7缓解对网络运营商的建议
完整的保护访问:7需要修补设备运行的脆弱版本Axeda组件。PTC发布了官方补丁,使用这个软件和设备制造商应该提供自己的更新给客户。
在技术报告,缓解策略为设备制造商进行了探讨。对于网络运营商,以下建议:
- 发现和库存设备Axeda运行。影响设备的不断更新列表模型可以发现在这里。
- 执行分割网络控制和适当的卫生从脆弱的设备来减轻风险。限制和隔离外部通信路径或包含脆弱的设备区,如果他们不能修补或直到他们可以修补。特别是,考虑阻塞脆弱的端口下面列出的一个或多个使用任何受影响的设备在您的组织。列出了端口号,默认值;然而,他们可以配置不同的制造商。
CVE |
端口号 |
描述 |
cve - 2022 - 25249 |
56120年,56130年 |
主要代理服务的Web服务器 |
cve - 2022 - 25250 |
3011年 |
主要代理服务关闭信号 |
cve - 2022 - 25251 |
3031年 |
主要代理服务配置 |
cve - 2022 - 25246 |
5920年,5820年 |
VNC代理 |
cve - 2022 - 25248 |
3077年 |
事件日志用于部署配置 |
cve - 2022 - 25247 |
3076年 |
代码执行和部署配置中使用的文件系统访问 |
- 监控进步影响设备制造商发布的补丁和制定补救计划为你的脆弱的资产库存,平衡业务风险和业务连续性的要求。
- 监视所有恶意数据包的网络流量试图利用这些漏洞。块已知的恶意流量或者至少警报网络运营商的存在。
Forescout如何帮助
与最近收购CyberMDX, Forescout医疗客户可以使用CyberMDX医疗物联网设备的解决方案来识别脆弱。解决自动检测医疗资产在你的网络和组织在一个可访问的库存清单。资产受到访问:7将出现在屏幕的网络漏洞风险。使用CyberMDX控制中心,客户也可以跟踪的数量影响设备和补救的进步。
Forescout平台还可防止访问:7漏洞如下:
视力使用安全策略模板(spt)模块识别设备和组脆弱的和潜在的脆弱。SPT包的新版本,它可以识别设备容易访问:7,可以下载在这里。
eyeInspect使用一个新的访问:7监视脚本识别脆弱的设备和检测开发尝试。下图展示了eyeInspect提出的警告当它检测到一个剥削尝试对cve - 2022 - 25247。
访问:7安全警告
找到最新的信息影响供应商和设备下面的链接: