Birçoğu sağlık sektöründe kullanılanlar da dahil olmak üzere 150’den fazla Nesnelerin İnterneti (IoT) cihazı, cihazlardaki bir üçüncü taraf uzaktan erişim bileşenindeki yedi güvenlik açığından oluşan bir dizi yüksek saldırı riski altındadır.
Hatalardan üçü kritik olarak derecelendirildi, çünkü saldırganların tam kontrol altına almak için savunmasız cihazlarda uzaktan kötü amaçlı kod yürütmesine olanak tanıyor. Kalan güvenlik açıkları orta ila yüksek önem derecelerine sahiptir ve saldırganlara veri çalmak veya hizmet reddi saldırıları yürütmek için bir yol sağlar.
Güvenlik açıkları, birçok IoT satıcısının uzaktan erişim ve yönetimi etkinleştirmek için cihazlarına dahil ettiği teknolojiler olan PTC Axeda aracısının ve PTC Masaüstü Sunucusunun birden çok sürümünde mevcuttur. Güvenlik açıklarını keşfeden Forescout’un Vedere Laboratuarlarından ve CyberMDX’ten araştırmacılar, bunları toplu olarak “Erişim:7” olarak izliyorlar.
Bu hafta bulgularını özetleyen bir raporda, araştırmacılar buggy bileşenini açıkladı tıbbi görüntüleme, laboratuvar, radyoterapi ve cerrahi teknolojiler gibi sağlık sektöründe kullanılan internet bağlantılı cihazlarda özellikle yaygındır. Forescout, müşteri ağlarının anonimleştirilmiş bir taramasının, üzerlerinde Axeda’nın savunmasız sürümleri olan yaklaşık 2.000 benzersiz cihazı ortaya çıkardığını söyledi. Bunun %55’i sağlık kuruluşlarında, %24’ü IoT ürünleri geliştiren kuruluşlarda, %8’i BT’de, %5’i finansal hizmet ortamlarında, %4’ü üretimde ve %4’ü diğer sektörlerde konuşlandırıldı.
Etkilenen cihazlar arasında – sağlıkla ilgili teknolojilerin yanı sıra – ATM’ler, SCADA sistemleri, otomatlar, nakit yönetim sistemleri, IoT ağ geçitleri ve varlık izleme teknolojileri yer alıyor. Forescout, Axeda teknolojisinin 6.9.3’ün altındaki tüm sürümlerinin etkilendiğini ve PTC’nin tüm güvenlik açıkları için yamalar yayınladığını söyledi.
Forescout’ta güvenlik araştırması başkanı Daniel dos Santos, güvenlik açıklarının uzaktan yönetim araçlarının sadece BT dünyasında değil – geçen yıl Kaseya’da olduğu gibi saldırılarda gösterildiği gibi – aynı zamanda IoT ve İnternet bağlantılı için de bir tehlike oluşturduğunun kanıtı olduğunu söylüyor. tıbbi teknolojiler.
“Bu nedenle, kuruluşların uzaktan yönetilen bir cihaz envanterine sahip olması ve bunların nasıl yönetildiğini anlaması önemlidir” diyor. “Kuruluşlar önce ağdaki savunmasız cihazları tanımlamalı, ardından ağlarını bölümlere ayırarak ve savunmasız bağlantı noktalarındaki trafiği sınırlayarak bu güvenlik açıklarına maruz kalmadıklarından emin olmalılar.” Dos Santos, daha sonra mümkün olduğunda cihazları yamalamaları gerektiğini söylüyor.
Forescout ve CyberMDX’in keşfettiği yedi güvenlik açığı, sabit kodlanmış kimlik bilgilerinin kullanımından, eksik kimlik doğrulamasından, bir yol adının uygun olmayan şekilde sınırlandırılmasından ve özel durumların uygunsuz denetimi veya işlenmesinden kaynaklananları içerir.
Satıcıların PTC’ye bildirdiği üç kritik uzaktan kod yürütme hatası, Axeda xGate.exe aracısında CVE-2022-25251, AxedaDesktopServer.exe’de CVE-2022-25246 ve ERemoteServer.exe hizmetinde CVE-2022-25247’dir.
Dos Santos, güvenlik açıklarının aracının farklı bileşenlerini etkilediğini söylüyor. Buna üretim cihazlarında bulunmaması gereken bir yapılandırma aracı, bir masaüstü sunucu aracı, bir ağ geçidi bileşeni ve bir paylaşılan kitaplık dahildir. “Yani, tüm güvenlik açıklarının bir cihazda bulunmaması mümkündür – ve genellikle durum böyledir” diyor.
En yaygın güvenlik açıkları ağ geçidini ve kitaplığı etkileyenler olacaktır. Bunlar: CVE-2022-25249, CVE-2022-25250; dos Santos, CVE-2022-25251 ve CVE-2022-25252 diyor.
CISA Danışmanlığı
A ABD Siber Güvenlik ve Altyapı Ajansı (CISA) danışmanlığı Access:7 güvenlik açıklarını ABD’de ve tüm dünyada çok sayıda kritik altyapı sektöründeki kuruluşları etkileyen olarak tanımladı. “Toplu olarak ‘Erişim:7’ olarak bilinen bu güvenlik açıklarından başarılı bir şekilde yararlanılması, tam sistem erişimi, uzaktan kod yürütme, yapılandırma okuma/değiştirme, dosya sistemi okuma erişimi, günlük bilgileri erişimi veya hizmet reddi durumu ile sonuçlanabilir, ” dedi CISA.
Dos Santos, kuruluşların güvenlik açıklarından karşı karşıya kaldığı potansiyel saldırılara maruz kalmanın faaliyet gösterdikleri sektörlere bağlı olacağını söylüyor. Hastane ortamlarında çok sayıda kamusal alan olduğundan ve hastalarla BT sistemlerinin kullanılmasını gerektiren çok sayıda etkileşim olduğundan, sağlık kuruluşlarının diğer sektörlerden daha fazla fiziksel maruziyete sahip olması muhtemeldir. “Ancak, tıbbi cihazlar, finansal hizmetler gibi diğer sektörlerde daha yaygın olan İnternet’e nadiren maruz kalıyor” diyor.
Dos Santos, saldırganların Access:7 güvenlik açıklarından yararlanmak için bir ağa önceden bir tür yerel erişime sahip olmaları gerektiğini söylüyor. Ancak, örneğin kimlik avı yoluyla veya başka bir güvenlik açığından yararlanarak yerel erişimi olan saldırganlar için kusurlardan yararlanmanın kolay olduğunu söylüyor. Cihazlar, ağ üzerinde belirli açık bağlantı noktaları veya HTTP afişleri gibi ağ parmak izleri ile tanımlanabilir ve bu da zor değildir.
Dos Santos, “Bu güvenlik açıklarıyla gerçekleştirilebilecek saldırı türleri kuruluşlar arasında aynıdır, ancak etkileri farklıdır” diyor. “Örneğin, sağlık sektöründeki bir veri hırsızlığı, bir finansal hizmet organizasyonundaki veri hırsızlığından farklı bir etkiye sahiptir.”
Forescout teknik bir rapor yayınladı kusurların tüm ayrıntılarını içeren ve ayrıca Blog yazısı üzerinde de.
Access:7 güvenlik açıkları, kuruluşların İnternet’e bağlı BT dışı cihazlardan kaynaklanan ve genellikle hafife alınan riskin bir başka hatırlatıcısıdır. Daha bu hafta, başka bir satıcı Armis, Schneider Electric’in bir yan kuruluşu olan APC’nin akıllı UPS cihazlarında üç kritik sıfır gün güvenlik açığını açıkladı. Dünya çapında, güç yedeği olarak kullanılan 20 milyondan fazla UPS cihazının, 2005’e kadar uzanan, Armis’in toplu olarak bahsettiği güvenlik açıklarını içerdiğine inanılıyor. TLStorm.
Açıklardan yararlanılırsa, güvenlik açıkları uzaktaki bir saldırganın APC’nin SmartUPS cihazının tam kontrolünü ele geçirmesine ve cihazları açıp kapatma veya sistemi fiziksel olarak yok etme dahil bir dizi kötü amaçlı etkinlik gerçekleştirmesine olanak tanır. Örneğin Armis, savunmasız bir UPS cihazının alev almasına ve duman çıkarmasına neden olmak için kusurlardan yararlanabileceğini söyledi.
Armis Araştırma Başkanı Barak Hadad, güvenlik açıklarından uzaktan yararlanılabileceğinden, bazı senaryolarda saldırganların bunları dahili kurumsal ağa girmek için kullanabileceğini söylüyor. “Saldırgan ağa girdikten sonra fidye yazılımı veya kasıtlı sabotaj dahil her türlü saldırıyı gerçekleştirebilir” diyor. “UPS cihazları, kritik öneme sahip cihazları elektrik kesintisinden koruduğu için, bir UPS’i devre dışı bırakmak ciddi sonuçlar doğurabilir.”
Hadad’a göre, saldırganların istismar yoluyla yapabilecekleri hasar büyük olasılıkla değişecektir. “Fiziksel sömürü, UPS’in iç işleyişinin bir miktar anlaşılmasını gerektirir,” diye belirtiyor. “UPS’yi açmak veya kapatmak oldukça kolaydı ancak dalga biçimini değiştirmek veya duman yakalamasını sağlamak daha derin bir anlayış gerektiriyordu.”
