Les appareils médicaux et IoT de plus de 100 fournisseurs vulnérables aux attaques

Plus de 150 appareils Internet des objets (IoT) – dont beaucoup sont utilisés dans le secteur de la santé – de plus de 100 entreprises sont exposés à un risque accru d’attaque à cause d’un ensemble de sept vulnérabilités dans un composant d’accès à distance tiers dans les appareils.

Trois des bogues sont classés comme critiques car ils permettent aux attaquants d’exécuter à distance du code malveillant sur des appareils vulnérables pour en prendre le contrôle total. Les vulnérabilités restantes ont des cotes de gravité modérées à élevées et offrent aux attaquants un moyen de voler des données ou d’exécuter des attaques par déni de service.

Les vulnérabilités sont présentes dans plusieurs versions de l’agent PTC Axeda et du serveur de bureau PTC, des technologies que de nombreux fournisseurs IoT intègrent dans leurs appareils pour permettre l’accès et la gestion à distance. Les chercheurs des laboratoires Vedere de Forescout et de CyberMDX qui ont découvert les vulnérabilités les suivent collectivement sous le nom “Access: 7”.

Dans un rapport résumant leurs conclusions cette semaine, le les chercheurs ont décrit le composant buggy comme particulièrement répandu dans les appareils connectés à Internet utilisés dans le secteur de la santé, tels que l’imagerie médicale, le laboratoire, la radiothérapie et les technologies chirurgicales. Forescout a déclaré qu’une analyse anonyme de ses réseaux clients a découvert quelque 2 000 appareils uniques contenant des versions vulnérables d’Axeda. De ce nombre, 55 % se trouvaient dans des organisations de soins de santé, 24 % dans le développement de produits IoT, 8 % dans l’informatique, 5 % dans des environnements de services financiers, 4 % dans la fabrication et 4 % dans d’autres secteurs verticaux.

Parmi les appareils concernés, outre les technologies liées aux soins de santé, figurent les distributeurs automatiques de billets, les systèmes SCADA, les distributeurs automatiques, les systèmes de gestion de trésorerie, les passerelles IoT et les technologies de surveillance des actifs. Toutes les versions de la technologie Axeda inférieures à 6.9.3 sont affectées et PTC a publié des correctifs pour toutes les vulnérabilités, a déclaré Forescout.

Daniel dos Santos, responsable de la recherche sur la sécurité chez Forescout, affirme que les vulnérabilités sont la preuve que les outils de gestion à distance présentent un danger non seulement dans le monde informatique – comme le montre des attaques comme celle de Kaseya l’année dernière — mais aussi pour l’IdO et les technologies médicales connectées à Internet.

“Il est donc important que les organisations disposent d’un inventaire des appareils gérés à distance et comprennent comment ils sont gérés”, a-t-il déclaré. “Les organisations doivent d’abord identifier les appareils vulnérables du réseau, puis s’assurer qu’elles ne sont pas exposées à ces vulnérabilités en segmentant leurs réseaux et en limitant le trafic sur les ports vulnérables.” Ils devraient ensuite patcher les appareils, lorsque cela est possible, dit dos Santos.

L’ensemble de sept vulnérabilités découvertes par Forescout et CyberMDX comprend celles résultant de l’utilisation d’informations d’identification codées en dur, d’une authentification manquante, d’une limitation incorrecte d’un nom de chemin et d’une vérification ou d’une gestion incorrecte des exceptions.

Les trois bogues critiques d’exécution de code à distance que les fournisseurs ont signalés à PTC sont CVE-2022-25251 dans l’agent Axeda xGate.exe, CVE-2022-25246 dans AxedaDesktopServer.exe et CVE-2022-25247 dans le service ERemoteServer.exe.

Les vulnérabilités affectent différents composants de l’agent, explique Dos Santos. Cela comprend un outil de configuration, qui ne devrait pas être présent sur les appareils de production, un outil de serveur de bureau, un composant de passerelle et une bibliothèque partagée. “Il est donc possible – et souvent le cas – que toutes les vulnérabilités ne soient pas présentes sur un appareil”, dit-il.

Les vulnérabilités les plus courantes seront celles affectant la passerelle et la bibliothèque. Ce sont : CVE-2022-25249, CVE-2022-25250 ; CVE-2022-25251 et CVE-2022-25252, dit dos Santos.

Conseil CISA
UNE Avis de la Cybersecurity and Infrastructure Agency (CISA) des États-Unis décrit les vulnérabilités Access: 7 comme affectant les organisations dans plusieurs secteurs d’infrastructure critiques aux États-Unis et dans le monde. “L’exploitation réussie de ces vulnérabilités – collectivement appelées” Access: 7 “- pourrait entraîner un accès complet au système, l’exécution de code à distance, la lecture/modification de la configuration, l’accès en lecture au système de fichiers, l’accès aux informations de journal ou une condition de déni de service, dit CISA.

Dos Santos affirme que l’exposition aux organisations potentielles auxquelles les attaques sont confrontées en raison des vulnérabilités dépendra des secteurs dans lesquels elles opèrent. Les organisations de soins de santé sont susceptibles d’être plus exposées physiquement que d’autres secteurs car il y a beaucoup d’espaces publics dans les environnements hospitaliers et beaucoup d’interactions avec les patients qui nécessitent l’utilisation de systèmes informatiques. “Cependant, les dispositifs médicaux sont rarement exposés à Internet, ce qui est plus courant dans d’autres secteurs, tels que les services financiers”, dit-il.

Dos Santos dit que les attaquants auraient besoin d’avoir une sorte d’accès local préalable à un réseau afin d’exploiter les vulnérabilités Access:7. Mais pour les attaquants qui ont un accès local – via le phishing ou en exploitant une autre vulnérabilité, par exemple – les failles sont faciles à exploiter, dit-il. Les appareils peuvent être identifiés sur le réseau par des ports ouverts spécifiques ou des empreintes réseau, telles que des bannières HTTP, ce qui n’est pas non plus difficile.

“Les types d’attaques qui peuvent être menées avec ces vulnérabilités sont les mêmes dans toutes les organisations, mais leur impact est différent”, explique Dos Santos. “Par exemple, une exfiltration de données dans le secteur de la santé a un impact différent d’une exfiltration de données dans une organisation de services financiers.”

Forescout a publié un rapport technique contenant tous les détails des défauts ainsi qu’un article de blog dessus aussi.

Les vulnérabilités Access:7 sont un autre rappel des vulnérabilités souvent sous-estimées risque auxquelles les organisations sont confrontées à partir d’appareils non informatiques connectés à Internet. Pas plus tard que cette semaine, un autre fournisseur, Armis, a dévoilé un ensemble de trois vulnérabilités critiques du jour zéro dans les onduleurs intelligents d’APC, une filiale de Schneider Electric. Plus de 20 millions d’onduleurs – qui sont utilisés comme alimentation de secours – dans le monde, remontant à 2005, sont censés contenir les vulnérabilités qu’Armis appelle collectivement TLStorm.

Si elles sont exploitées, les vulnérabilités permettraient à un attaquant distant de prendre le contrôle total du dispositif APC SmartUPS et d’effectuer une série d’activités malveillantes, notamment allumer et éteindre les dispositifs ou détruire physiquement le système. Armis, par exemple, a déclaré qu’il était capable d’exploiter les failles pour faire s’enflammer et cracher de la fumée un dispositif UPS vulnérable.

Barak Hadad, responsable de la recherche chez Armis, explique que puisque les vulnérabilités peuvent être exploitées à distance, dans certains scénarios, les attaquants pourraient les utiliser pour pénétrer dans le réseau interne de l’entreprise. “Après avoir pénétré dans le réseau, l’attaquant peut lancer toutes sortes d’attaques, y compris des ransomwares ou des sabotages délibérés”, dit-il. “Étant donné que les onduleurs protègent les appareils critiques contre les pannes de courant, la mise hors service d’un onduleur peut avoir de graves conséquences.”

Selon Hadad, les dommages que les attaquants peuvent faire via l’exploit varieront probablement. “L’exploitation physique nécessite un certain niveau de compréhension du fonctionnement interne de l’UPS”, note-t-il. “Allumer ou éteindre l’onduleur était assez facile, mais changer la forme d’onde ou lui faire prendre de la fumée nécessitait un niveau de compréhension plus profond.”

Leave a Comment