Se han revelado hasta siete vulnerabilidades de seguridad en el software Axeda de PTC que podrían armarse para obtener acceso no autorizado a dispositivos médicos y de IoT.
Llamados colectivamente «Acceso:7«las debilidades, tres de las cuales están clasificadas como críticas en gravedad, afectan potencialmente a más de 150 modelos de dispositivos que abarca más de 100 fabricantes diferentes, lo que representa un riesgo significativo para la cadena de suministro.
La solución Axeda de PTC incluye una plataforma en la nube que permite a los fabricantes de dispositivos establecer conectividad para monitorear, administrar y dar servicio de forma remota a una amplia gama de máquinas, sensores y dispositivos conectados a través de lo que se denomina el agente, que instalan los OEM antes de que los dispositivos se vendan a clientes.
«Access:7 podría permitir a los piratas informáticos ejecutar de forma remota código malicioso, acceder a datos confidenciales o alterar la configuración en dispositivos médicos y de IoT que ejecutan el agente de administración y código remoto Axeda de PTC», dijeron investigadores de Forescout y CyberMDX en un informe conjunto publicado hoy.
De los 100 proveedores de dispositivos afectados, el 55 % pertenece al sector de la salud, seguido por las industrias de IoT (24 %), TI (8 %), servicios financieros (5 %) y fabricación (4 %). No menos del 54% de los clientes con dispositivos que ejecutan Axeda se han identificado en el sector de la salud.
Además de las máquinas de imágenes médicas y de laboratorio, los dispositivos vulnerables incluyen todo, desde cajeros automáticos, máquinas expendedoras, sistemas de administración de efectivo e impresoras de etiquetas hasta sistemas de escaneo de códigos de barras, sistemas SCADA, soluciones de monitoreo y seguimiento de activos, puertas de enlace de IoT y cortadores industriales.
La lista de fallas está a continuación:
- CVE-2022-25246 (Puntuación CVSS: 9,8): el uso de credenciales codificadas en el servicio AxedaDesktopServer.exe que podría permitir la toma remota de control de un dispositivo
- CVE-2022-25247 (Puntuación CVSS: 9.8): una falla en ERemoteServer.exe que podría aprovecharse para enviar comandos especialmente diseñados para obtener ejecución remota de código (RCE) y acceso completo al sistema de archivos
- CVE-2022-25251 (Puntuación CVSS: 9.4) – Autenticación faltante en el agente Axeda xGate.exe que podría usarse para modificar la configuración del agente
- CVE-2022-25249 (Puntuación CVSS: 7.5): una falla de cruce de directorios en el agente Axeda xGate.exe que podría permitir que un atacante remoto no autenticado obtenga acceso de lectura del sistema de archivos en el servidor web
- CVE-2022-25250 (Puntuación CVSS: 7.5): una falla de denegación de servicio (DoS) en el agente Axeda xGate.exe al inyectar un comando no documentado
- CVE-2022-25252 (Puntuación CVSS: 7,5): una vulnerabilidad de desbordamiento de búfer en el componente Axeda xBase39.dll que podría provocar una denegación de servicio (DoS)
- CVE-2022-25248 (Puntuación CVSS: 5.3): una falla de divulgación de información en el servicio ERemoteServer.exe que expone el registro de texto del evento en vivo a partes no autenticadas
La explotación exitosa de las fallas podría equipar a los atacantes con capacidades para ejecutar código malicioso de forma remota para tomar el control total de los dispositivos, acceder a datos confidenciales, modificar configuraciones y cerrar servicios específicos en los dispositivos afectados.
Las fallas, que afectan a todas las versiones de Axeda Agent anteriores a la 6.9.3, se informaron a PTC el 10 de agosto de 2021 como parte de un proceso coordinado de divulgación que involucró a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el Centro de Análisis e Intercambio de Información de Salud (H-ISAC) y la Administración de Alimentos y Medicamentos (FDA).
Para mitigar las fallas y prevenir una posible explotación, los usuarios son recomendado para actualizar al agente Axeda versión 6.9.1 compilación 1046, 6.9.2 compilación 1049 o 6.9.3 compilación 1051.
Esta no es la primera vez que salen a la luz vulnerabilidades críticas de seguridad dirigidas principalmente a los sistemas de atención médica. En diciembre de 2020, CyberMDX reveló «Rayos MDhex«una falla grave en los productos de imágenes por tomografía computarizada, rayos X y resonancia magnética de GE Healthcare que podría resultar en la exposición de información médica protegida.
«Access:7 afecta una solución vendida a fabricantes de dispositivos que no desarrollaron su propio sistema de servicio remoto», dijeron los investigadores. «Esto lo convierte en una vulnerabilidad de la cadena de suministro y, por lo tanto, afecta a muchos fabricantes y dispositivos intermedios».