Vulnérabilités critiques ACCESS:7 concernant le composant Axeda présent dans des dispositifs médicaux

Date de publication :

Le laboratoire Vebere Labs, en collaboration avec CyberMDX, a publié un rapport de recherche à propos de sept vulnérabilités PTC Axeda (Agent xGate, Axeda Desktop Server, ERemote Server, et les services Axeda). Ces produits sont utilisés par de nombreux établissements de santé pour le contrôle à distance de divers équipements médicaux. Ces vulnérabilités sont connues en tant que « Access:7 ». La CVE-2022-25242 n’est pas traitée dans ce bulletin, car son score cvss v3.1 est faible.

CVE-2022-25249[Score CVSS v3.1: 7.5]
Une limitation insuffisante de l’accès au dossier Gateway/WebPages peut permettre une attaque par traversée de répertoires. Un attaquant peut explorer au-delà du dossier pour atteindre des données sensibles.

CVE-2022-25250[Score CVSS v3.1: 7.5]
La commande d’arrêt de l’agent xGate.exe ne nécessite aucune authentification, un attaquant peut générer un déni de service à distance.

CVE-2022-25251[Score CVSS v3.1: 9.8]
L’absence d’authentification concernant l’utilisation de certaines commandes par le service xGate peut permettre à un attaquant d’exécuter du code arbitraire à distance.

CVE-2022-25246[Score CVSS v3.1: 9.8]
Un mot de passe par défaut existe dans le service AxedaDesktopServer.exe, ce qui peut permettre à un attaquant d’exécuter du code arbitraire sur l’équipement distant.

CVE-2022-25247[Score CVSS v3.1: 9.8]
Une absence d’authentification lors de l’utilisation du service ERemoteServer.exe sur le port 3076 peut permettre à un attaquant d’exécuter du code arbitraire à distance.

CVE-2022-25252[Score CVSS v3.1: 7.5]
Un manque de contrôle des limites des requêtes par les services Axeda, utilisant la librairie xBase39.dll, peut permettre à un attaquant d’utiliser des requêtes pour générer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques
  • Exécution de code arbitraire (à distance)
  • Atteinte à la confidentialité des données
  • Déni de service

Criticité

  • Score CVSS v3.1: 9.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentées.

Un correctif existe

  • Oui, pour l’ensemble des CVE présentées.

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentées.

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-25249

Pour la CVE-2022-25250

Pour la CVE-2022-25251

Pour la CVE-2022-25246

Pour la CVE-2022-25247

Pour la CVE-2022-25252

Détails sur l’exploitation

Pour la CVE-2022-25249CVE-2022-25250CVE-2022-25251CVE-2022-25246CVE-2022-25247CVE-2022-25252

 

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Aucun.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Systèmes ou composants affectés

  • La liste complète des équipements concernés par les vulnérabilités « Access:7 » est disponible ici.

Solutions ou recommandations

  • Le rapport de recherche, réalisé par Vebere Lab et CyberMDX, contenant des informations supplémentaires et détaillées est disponible ici.

Les recommandations suivantes sont issues du rapport de recherche, page 13, et concernent les fabricants d’appareils :

  • Appliquer la mise à jour Axeda vers la version 6.9.1 build 1046, 6.9.2 build 1049 ou 6.9.3 build 1051 (dans le cas d’une utilisation d’un ancien agent Axeda). Les utilisateurs PTC peuvent trouver des informations supplémentaires ici.
     
  • Configurer l’agent Axeda et ADS Service pour qu’ils n’écoutent que sur localhost 127.0.0.1 et empêcher l’exposition des ports au réseau. Un article d’aide est disponible ici.
     
  • Mettre en place un mot de passe fort et unique dans le fichier AxedaDesktop.ini pour chacune des unités concernées.
     
  • Ne jamais utiliser ERemoteServer.exe dans la production.
    A – Supprimer le fichier ERemoteServer.exe sur l’équipement hôte.
    B – Retirer le fichier d’installation Gateway_vs2017-en-us-x64-pc-winntvc14-6.9.3-1051.msi
    C – Retirer les utilitaires d’installations et les exécutables inutiles.
     
  • Si le système d’exploitation Microsoft Windows est utilisé sur l’hôte, il faut alors configurer une communication localhost (127.0.0.1) entre ERemoteServer.exe et Axeda Builder. Un article d’aide est disponibleici.
     
  • Si le système d’exploitation Microsoft Windows n’est pas utilisé sur l’hôte, il faut exécuter ERemoteServer.exe sur un autre poste de travail. Il faut faire en sorte qu’uniquement des hôtes de confiance puissent atteindre les ports 3076 et 3077 du poste de travail où est exécuté ERemoteServer.exe.
     
  • L’agent Axeda doit être configuré de manière à ce que les informations de l’authentification nécessitent une connexion à Deployment Utility. Un article d’aide est disponibleici.

Les recommandations suivantes sont issues du rapport de recherche, page 14, et concernent les opérateurs réseau.

  • Il est recommandé de connaitre les installations qui sont équipées des produits Adexa afin de vérifier régulièrement si des mises à jour existent. Une liste d’aide est disponible ici.
     
  • Appliquer des segmentations contrôlées et une hygiène du réseau informatique afin de limiter les risques des équipements vulnérables. En attendant les correctifs pour les équipements vulnérables, restreindre ou isoler les accès aux équipements vulnérables.  Des ports peuvent être bloqués en attendant les correctifs (voir le tableau 2 page 14 du rapport de recherche).
     
  • Il est recommandé d’être attentif aux nouvelles mises à jour et des correctifs publiés par l’éditeur.
     
  • Surveiller le réseau et son trafic afin d’identifier les paquets malveillants.
     

Mitigation

En attendant l'action de la part de votre prestataire / constructeur, nous vous conseillons d'appliquer les mesures suivantes :
 

  • Maitriser les flux sortants de votre SI vers axeda.com (journalisation) ;
     
  • Si vous en avez la possibilité, mettre en place les règles de détection SNORT ou SURICATA pour détecter les flux Axeda vers internet
    (https://raw.githubusercontent.com/woundride/pawpatrules/main/samples/PA… - Fourni par le GRADeS Pays de la Loire)
     
  • Contrôle des flux entrants sur les équipements vulnérables à travers les ports suivants :

CVE-2022-25249 : les ports 56120 et 56130 pour le serveur web de l'agent principal

CVE-2022-25250 : le port 3011 pour l'arrêt du service de l'agent principal

CVE-2022-25251 : le port 3031 pour la configuration du service de l'agent principal

CVE-2022-25246 : les ports 5920, 5820 pour l'agent VNC

CVE-2022-25248 : le port 3077 pour l'exposition des journaux d'évènements utilisées dans la configuration de déploiement

CVE-2022-25247 : le port 3076 pour l'exécution de code et accès au système de fichier utilisées dans la configuration de déploiement

 

Liens