Plus de 150 appareils Internet des objets (IoT) utilisés pour des applications commerciales pourraient être exposés à un risque de piratage malveillant en raison de vulnérabilités critiques dans la plateforme de gestion des appareils connectés Axeda.
Découvert par des chercheurs en sécurité des laboratoires Vedere de Forescout et de CyberMDX, le trio de failles d’exécution de code à distance (RCE) pourrait également permettre aux attaquants d’accéder à des données sensibles ou de reconfigurer les appareils concernés.
La majorité des appareils affectés par ces bogues et quatre autres bogues de moindre gravité – collectivement appelés « Access: 7 » – sont utilisés pour des applications médicales.
Axeda, qui appartient à la société de logiciels industriels IoT basée au Massachusetts, PTC, a corrigé les sept failles de la version 6.9.3 d’Axeda Agent. Toutes les versions précédentes sont vulnérables.
Surface d’attaque
Plus de la moitié des appareils concernés (54 %), développés par plus de 100 fournisseurs, sont déployés dans le secteur de la santé, et les dispositifs médicaux sont le plus souvent utilisés pour les applications d’imagerie (36 %) et de laboratoire (31 %), selon un Forescout article de blog publié hier (8 mars).
24 % supplémentaires sont des solutions IoT.
Les appareils concernés sont également utilisés pour des applications telles que les distributeurs automatiques de billets, les distributeurs automatiques, les systèmes de gestion de trésorerie, les imprimantes d’étiquettes, les systèmes de lecture de codes-barres, les systèmes SCADA, les solutions de surveillance et de suivi des actifs, les passerelles IoT et les découpeuses industrielles.
Forescout, qui fournit des services de cybersécurité pour « l’entreprise des objets », a déclaré avoir identifié plus de 2 000 appareils exécutant Axeda sur les réseaux clients.
Répartition des bogues
Les deux vulnérabilités RCE les plus graves, toutes deux obtenant des scores CVSS de 9,8, concernent l’utilisation d’informations d’identification codées en dur par le service AxedaDesktopServer.exe (CVE-2022-25246) et une faille dans le service ERemoteServer.exe permettant un accès complet au système de fichiers ( CVE-2022-25247).
Avec un score CVSS de 9,4, l’autre bogue critique est survenu parce que l’agent Axeda xGate.exe autorise les commandes non authentifiées qui récupèrent des informations sur un périphérique et modifient la configuration de l’agent (CVE-2022-25251).
Un quatuor de problèmes de gravité moyenne comprend des failles de déni de service (CVE-2022-25250) et de divulgation d’informations via la traversée de répertoire (CVE-2022-25249) affectant l’agent Axeda xGate.exe ; un exploit de déni de service distinct qui provoque le blocage des services Axeda utilisant xBase39.dll (CVE-2022-25252) ; et un bogue de divulgation d’informations dans le service ERemoteServer.exe (CVE-2022-25248)
« Difficile à éradiquer »
Les fabricants d’appareils utilisant ce logiciel doivent fournir leurs propres mises à jour aux clients, tandis que les utilisateurs finaux doivent corriger les appareils vulnérables dès que possible, a conseillé Vedere Labs.
Vedere Labs a fourni des stratégies d’atténuation aux fabricants d’appareils et aux opérateurs de réseau dans un rapport technique accompagnant le billet de blog.
« Nous pensons que la distribution des agents Axeda dans les secteurs verticaux de l’industrie est la preuve que les dispositifs médicaux sont entretenus à distance plus souvent que d’autres types de dispositifs », a déclaré Vedere Labs.
« Cette recherche montre également que plusieurs fournisseurs de dispositifs médicaux ont choisi d’adopter une solution tierce pour les opérations de maintenance au lieu de développer cette capacité en interne.
« Cette recherche est une preuve supplémentaire que les vulnérabilités des composants de la chaîne d’approvisionnement ont tendance à devenir très répandues et difficiles à éradiquer, ce que nous avions initialement observé avec Mémoire du projet.”