关键的“访问：7”供应链漏洞影响ATM、医疗和物联网设备

PTC的Axeda软件中已披露多达七个安全漏洞，这些漏洞可能被武器化，以获得对医疗和物联网设备的未经授权访问。

统称为“Access:7“这些弱点–；其中三个在严重程度上被评为关键–；可能会影响100多家不同制造商的150多种设备型号，从而构成严重的供应链风险。

PTC的Axeda解决方案包括一个云平台，允许设备制造商通过所谓的代理建立连接，远程监控、管理和服务各种连接的机器、传感器和设备，该代理由OEM在设备出售给客户之前安装。

Forescout和CyberMDX的研究人员在今天发布的一份联合报告中表示：“Access:7可能使黑客能够远程执行恶意代码、访问敏感数据，或在运行PTC的Axeda remote code and management agent的医疗和物联网设备上更改配置。”。

在100家受影响的设备供应商中，55%属于医疗行业，其次是物联网（24%）、IT（8%）、金融服务（5%）和制造业（4%）。在使用Axeda设备的客户中，有不少于54%的客户是在医疗保健行业。

除了医疗成像和实验室机器外，易受攻击的设备还包括ATM、自动售货机、现金管理系统、标签打印机、条形码扫描系统、SCADA系统、资产监控和跟踪解决方案、物联网网关和工业刀具等。

The list of flaws is below –

• CVE-2022-25246（CVSS得分：9.8）；在AxedDeskTopServer中使用硬编码凭据。可以远程接管设备的exe服务
• CVE-2022-25247（CVSS得分：9.8）；ERemoteServer中存在漏洞。exe，可以用来发送精心编制的命令，以获得远程代码执行（RCE）和完整的文件系统访问权限
• CVE-2022-25251（CVSS得分：9.4）；Axeda xGate中缺少身份验证。可用于修改代理配置的exe代理
• CVE-2022-25249（CVSS得分：7.5）；Axeda xGate中存在目录遍历缺陷。exe代理，可允许未经身份验证的远程攻击者获得web服务器上的文件系统读取权限
• CVE-2022-25250（CVSS得分：7.5）；Axeda xGate中存在拒绝服务（DoS）缺陷。通过注入未记录的命令来执行exe代理
• CVE-2022-25252（CVSS得分：7.5）；Axeda xBase39中存在缓冲区溢出漏洞。可能导致拒绝服务（DoS）的dll组件
• CVE-2022-25248（CVSS得分：5.3）；ERemoteServer中存在信息泄露漏洞。exe服务，向未经身份验证的方公开实时事件文本日志

成功利用这些漏洞可使攻击者具备远程执行恶意代码的能力，从而完全控制设备、访问敏感数据、修改配置，并关闭受影响设备中的特定服务。

这些缺陷影响了AXEDA代理在6月9日之前的所有版本，在2021年8月10日被报告为PTC，这是美国网络安全和基础设施安全局（CISA）、健康信息共享和分析中心（H-ISAC）和食品和药物管理局（FDA）的协调披露过程的一部分。

为了减少缺陷并防止可能的攻击，建议用户升级到Axeda agent版本6.9.1版本1046、6.9.2版本1049或6.9.3版本1051。

这不是第一次发现主要针对医疗系统的关键安全漏洞。2020年12月，CyberMDX披露了“MDhex射线”，这是GE Healthcare的CT、X射线和MRI成像产品中的一个严重缺陷，可能导致受保护的健康信息暴露。

研究人员说：“Access:7会影响销售给未开发内部远程服务系统的设备制造商的解决方案。”。“这使其成为一个供应链漏洞，因此影响到许多下游制造商和设备。”