In der Axeda-Software von PTC wurden sieben Sicherheitslücken entdeckt, die genutzt werden könnten, um unbefugten Zugriff auf medizinische und IoT-Geräte zu erhalten.
Die als „Access:7“ bezeichneten Schwachstellen – von denen drei als kritisch eingestuft werden – betreffen potenziell mehr als 150 Gerätemodelle von über 100 verschiedenen Herstellern und stellen ein erhebliches Risiko für die Lieferkette dar.
Die Axeda-Lösung von PTC umfasst eine Cloud-Plattform, die es Geräteherstellern ermöglicht, eine Verbindung zur Fernüberwachung, -verwaltung und -wartung einer Vielzahl von vernetzten Maschinen, Sensoren und Geräten über einen so genannten Agenten herzustellen, der von den OEMs installiert wird, bevor die Geräte an die Kunden verkauft werden.
„Access:7 könnte es Hackern ermöglichen, aus der Ferne bösartigen Code auszuführen, auf sensible Daten zuzugreifen oder die Konfiguration von medizinischen und IoT-Geräten zu ändern, auf denen der Axeda Remote Code and Management Agent von PTC läuft“, so die Forscher von Forescout und CyberMDX in einem heute veröffentlichten gemeinsamen Bericht.
Von den 100 betroffenen Geräteherstellern gehören 55% dem Gesundheitssektor an, gefolgt von den Branchen IoT (24%), IT (8%), Finanzdienstleistungen (5%) und Fertigung (4%). Nicht weniger als 54% der Kunden mit Geräten, auf denen Axeda läuft, wurden im Gesundheitssektor identifiziert.
Zu den gefährdeten Geräten gehören neben medizinischen Bildgebungs- und Laborgeräten auch Geldautomaten, Verkaufsautomaten, Bargeldverwaltungssysteme, Etikettendrucker, Barcode-Scanner, SCADA-Systeme, Lösungen zur Anlagenüberwachung und -verfolgung, IoT-Gateways und industrielle Schneidegeräte.
Die Liste der Schwachstellen findest du unten –
CVE-2022-25246 (CVSS-Score: 9.8) – Die Verwendung von fest kodierten Anmeldeinformationen im Dienst AxedaDesktopServer.exe, die eine Fernübernahme eines Geräts ermöglichen können
CVE-2022-25246 (CVSS-Score: 9.8) – Die Verwendung von fest kodierten Anmeldeinformationen im Dienst AxedaDesktopServer.exe, die eine entfernte Übernahme eines Geräts ermöglichen CVE-2022-25247 (CVSS-Score: 9.8) – Eine Schwachstelle in ERemoteServer.exe, die dazu genutzt werden kann, speziell gestaltete Befehle zu senden, um Remote Code Execution (RCE) und vollständigen Dateisystemzugriff zu erhalten
(CVSS-Score: 9.8) – Eine Schwachstelle in ERemoteServer.exe, die dazu genutzt werden kann, speziell gestaltete Befehle zu senden, um Remote Code Execution (RCE) und vollständigen Zugriff auf das Dateisystem zu erlangen CVE-2022-25251 (CVSS-Score: 9.4) – Fehlende Authentifizierung im Agenten Axeda xGate.exe, die dazu genutzt werden kann, die Konfiguration des Agenten zu ändern
CVE-2022-25251 (CVSS score: 9.4) – Fehlende Authentifizierung im Axeda xGate.exe-Agent, durch die die Konfiguration des Agenten geändert werden kann CVE-2022-252549 (CVSS score: 7.5) – Ein Directory Traversal-Fehler im Axeda xGate.exe-Agent, durch den ein nicht authentifizierter Angreifer Lesezugriff auf das Dateisystem des Webservers erhalten kann
(CVSS-Score: 7.5) – Ein Directory Traversal-Fehler im Axeda xGate.exe-Agent, der es einem entfernten, nicht authentifizierten Angreifer ermöglichen könnte, Lesezugriff auf das Dateisystem des Webservers zu erlangen CVE-2022-25250 (CVSS-Score: 7.5) – Ein Denial-of-Service (DoS)-Fehler im Axeda xGate.exe-Agent durch Einschleusen eines nicht dokumentierten Befehls
(CVSS-Score: 7.5) – Ein Denial-of-Service (DoS)-Fehler im Axeda xGate.exe-Agent durch Einschleusen eines undokumentierten Befehls CVE-2022-25252 (CVSS-Score: 7.5) – Eine Pufferüberlaufschwachstelle in der Axeda xBase39.dll-Komponente, die zu einem Denial-of-Service (DoS) führen kann
(CVSS-Score: 7.5) – Eine Pufferüberlaufschwachstelle in der Komponente Axeda xBase39.dll, die zu einem Denial-of-Service (DoS) führen kann CVE-2022-25248 (CVSS-Score: 5.3) – Ein Fehler in der Informationsweitergabe im Dienst ERemoteServer.exe, durch den das Live-Ereignisprotokoll für nicht autorisierte Parteien zugänglich ist
Wenn die Schwachstellen erfolgreich ausgenutzt werden, können Angreifer aus der Ferne bösartigen Code ausführen, um die vollständige Kontrolle über die Geräte zu übernehmen, auf sensible Daten zuzugreifen, Konfigurationen zu ändern und bestimmte Dienste auf den betroffenen Geräten abzuschalten.
Die Schwachstellen, die alle Versionen des Axeda Agent vor 6.9.3 betreffen, wurden PTC am 10. August 2021 im Rahmen eines koordinierten Offenlegungsprozesses gemeldet, an dem die U.S. Cybersecurity and Infrastructure Security Agency (CISA), das Health Information Sharing and Analysis Center (H-ISAC) und die Food and Drug Administration (FDA) beteiligt waren.
Um die Schwachstellen zu entschärfen und eine mögliche Ausnutzung zu verhindern, wird den Nutzern empfohlen, auf die Axeda Agent Version 6.9.1 build 1046, 6.9.2 build 1049 oder 6.9.3 build 1051 zu aktualisieren.
Dies ist nicht das erste Mal, dass kritische Sicherheitslücken bekannt werden, die vor allem auf Systeme im Gesundheitswesen abzielen. Im Dezember 2020 enthüllte CyberMDX „MDhex-Ray“, eine schwerwiegende Schwachstelle in den CT-, Röntgen- und MRT-Bildgebungsprodukten von GE Healthcare, die zur Offenlegung geschützter Gesundheitsdaten führen könnte.
„Access:7 betrifft eine Lösung, die an Gerätehersteller verkauft wurde, die ihr Fernwartungssystem nicht selbst entwickelt haben“, so die Forscher. „Das macht es zu einer Schwachstelle in der Lieferkette und betrifft daher viele nachgelagerte Hersteller und Geräte.“