Uzaktan erişim ajanlarındaki kritik kusurlar binlerce tıbbi cihazı etkiliyor!
Yüzlerce IoT cihazı tarafından kullanılan Axeda platformu, üçü uzaktan kod yürütülmesine izin veren yedi güvenlik açığına sahiptir.
Uzaktan yönetim için kullanılan bir yazılım aracısındaki kritik güvenlik açıkları, bilgisayar korsanlarının sağlık, üretim ve diğer sektörlerden binlerce tıbbi ve diğer tür cihazlarda kötü amaçlı kod ve komutlar yürütmesine izin verebilir. Yamalar, yazılım aracısının geliştiricisi tarafından yayınlanmasına rağmen; etkilenen cihaz satıcılarının çoğunun kendi güncellemelerini yayınlaması gerekecek.
Bu arada, kullanıcılar ağ segmentasyonu yaparak ve güvenlik açıklarından yararlanmak için kullanılabilecek bazı iletişim portlarını engelleyerek riskleri azaltmalıdır.
Axeda platformundaki yedi güvenlik açığı:
Forescout ve CyberMDX araştırmacıları tarafından Axeda platformunda kritikten orta dereceye kadar değişen yedi kusur keşfedildi. Axeda bağımsız bir çözümdü, ancak artık endüstriyel IoT pazarı için çözümler geliştiren bilgisayar yazılımı ve hizmetleri şirketi PTC’ye ait.
Axeda platformu, bulut tabanlı veya yerinde bir sunucudan ve varlıkların uzaktan yönetimine ve izlenmesine izin veren birkaç yazılım aracısından oluşur. Bu aracıların hem Windows hem de Linux sürümleri vardır ve genellikle cihaz üreticileri tarafından doğrudan ürünlerine entegre edilir.
Forescout, 100’den fazla farklı üreticiden Axeda kullanan 150’den fazla potansiyel olarak savunmasız cihaz tespit etti. Cihazların yarısından fazlası sağlık hizmetlerinde, özellikle laboratuvar ekipmanı, cerrahi ekipman, infüzyon, radyoterapi, görüntüleme ve daha pek çok alanda kullanılmaktadır. Diğerleri finansal hizmetler, perakende, imalat ve diğer sektörlerde bulundu ve ATM’leri, otomatları, nakit yönetim sistemlerini, etiket yazıcılarını, barkod tarama sistemlerini, SCADA sistemlerini, varlık izleme ve izleme çözümlerini, IoT ağ geçitlerini ve endüstriyel kesiciler gibi makineleri içeriyor.
Forescout’un Access:7 olarak adlandırdığı yedi güvenlik açığı, uzaktan kod yürütülmesine neden olabilecek üç kritik güvenlik açığı içerir.
Birinci güvenlik açığı (CVE-2022-25251), Axeda xGate.exe aracısında bulunan ve bir saldırganın bir cihaz hakkında bilgi almasına ve aracının yapılandırmasını değiştirmesine izin veren kimliği doğrulanmamış komutlardan kaynaklanır. Bir saldırgan, yapılandırmayı değiştirerek aracıyı kontrol ettiği bir sunucuya yönlendirebilir ve işlevselliği ele geçirebilir.
Diğer bir kritik açık ise (CVE-2022-25246), UltraVNC uzak masaüstü aracını temel alan AxedaDesktopServer.exe bileşeninde bulunur. Bu hizmet her durumda etkinleştirilmez, ancak etkinleştirildiği yerde sabit kodlanmış bir parola kullanır.
Bileşenin kendisi, sabit kodlanmış kimlik bilgileriyle PTC’den gelmez, bunun yerine satıcı tarafından dağıtım sırasında ayarlanması gerekir.
Üçüncü kritik güvenlik açığı (CVE-2022-25247), EremoteServer.exe adlı başka bir Axeda bileşeninde bulunur. Bu, yalnızca satıcı tarafından bir ürün hattı için bir aracı yapılandırılırken kullanılması gereken bir dağıtım aracıdır, ancak bazı durumlarda araç bu işlemden sonra silinmez ve aracıyla birlikte dağıtılır.
3076 numaralı bağlantı noktası üzerinden ERemoteServer hizmeti tarafından desteklenen protokol aşağıdaki eylemleri destekler: cihaza bir dosya indirme, cihazdan bir dosya yükleme, programı çalıştırma, dizin/dosya bilgilerini sorgulama, ERemoteServer’ı kapatma, xGate’i kapatma. Bu eylemler uzaktan kod yürütülmesini sağlar.
Diğer güvenlik açıkları arasında, xBase39.dll kitaplığında kötü amaçlı bir istek yoluyla aracı hizmetinin çökmesine neden olabilen bir hizmet reddi sorunu olan CVE-2022-25252; CVE-2022-25248, ERemoteServer tarafından sağlanan canlı olay günlüğü aracılığıyla 3077 numaralı bağlantı noktasında kimlik doğrulaması olmadan bilgi sızıntısı; xGate’in 3011 numaralı bağlantı noktasında kimlik doğrulaması olmadan belirli komutları kabul etmesinden kaynaklanan bir hizmet reddi sorunu olan CVE-2022-25250; ve CVE-2022-25249, xGate tarafından 56120 ve 56130 numaralı bağlantı noktalarında sağlanan web hizmetinde bir saldırganın aracının eriştiği diskteki herhangi bir dosyayı okumasına izin verebilecek bir dizin geçiş hatası.
Bu güvenlik açıklarından yararlanmak, bir saldırganın savunmasız cihazlarla aynı ağ segmentinde olmasını gerektirir, ancak bu, bir iş istasyonuna hedefli kimlik avı yoluyla bulaşmaktan, herkese açık hizmetlerde güvenlik açıklarından yararlanmaya ve ardından yanal hareket gerçekleştirmeye kadar birçok yolla başarılabilir.
Forescout araştırmacıları raporlarında, sağlık sektöründe misafir Wi-Fi ağları, ziyaretçilerin erişebildiği ağ soketleri ve ağa bağlı cihazlar, randevular veya veri paylaşımı için kullanılan halka açık portallar ve daha fazlasını içeren birçok potansiyel saldırı vektörü olduğunu söyledi.
Axeda güvenlik açıklarını azaltma:
PTC, aracı yazılımının güncellenmiş sürümlerini yayınladı, ancak çoğu kullanıcının cihaz üreticilerinin güncellemeleri yayınlamasını beklemesi gerekecek. Güncellenen ajan sürümleri, sürüm 6.9.1 build 1046, sürüm 6.9.2 sürüm 1049 ve sürüm 6.9.3 build 1051’dir. Cihaz satıcıları ayrıca Axeda Agent ve ADS Service’i yalnızca 127.0.0.1 yerel ana bilgisayar arabirimini dinleyecek ve ifşayı önleyecek şekilde yapılandırmalıdır. yerel ağa bağlantı noktalarını açın ve tüm dağıtım yardımcı programlarını üretim cihazlarından kaldırın.
Kullanıcılar, Axeda aracıları çalıştıran tüm cihazlarını taramalı ve envanterini çıkarmalı ve ardından, yetkisiz sistemler veya sunucularla iletişimi önleyerek onlardan uygun ağ segmentasyonu uygulamalıdır. Ayrıca, bunlar aracılığıyla sağlanan işlevsellik gerekli değilse bazı bağlantı noktalarını engellemeyi de düşünmelidirler: 56120 ve 56130. Axeda aracısı için web hizmeti; aracıya bir kapatma sinyali göndermek için kullanılabilen 3011; 3031, aracı yapılandırması için; isteğe bağlı VNC uzak masaüstü hizmeti için 5920 ve 5820. Yalnızca dağıtım sırasında kullanılması gereken olay günlüğü için 3077 ve ERemoteServer dağıtım aracı aracılığıyla kod yürütme ve dosya sistemi erişimi sağlayan 3076.