Des failles de sécurité dans la solution de gestion à distance OEM d’Axeda pourraient être exploitées par des attaquants pour exécuter du code infiltré, paralyser les appareils ou manipuler les données. Comme le logiciel est largement utilisé dans de nombreux appareils médicaux de l’Internet des objets, la sécurité des patients pourrait être menacée.

Un département de la société de sécurité informatique Forescout a examiné le logiciel Axeda et a découvert sept vulnérabilités, dont certaines critiques. Ils ont donné le nom « Access:7 » à cet ensemble de vulnérabilités.

Gestion à distance achetée

La société Axeda a été rachetée par PTC en 2014, ce qui explique que ce nom apparaisse parfois dans le contexte. La gestion à distance Axeda permet aux fabricants de surveiller, gérer et entretenir leurs appareils à distance.

Elle se compose de ce que l’on appelle une plateforme, des agents et des actifs. La plate-forme est le composant serveur et sert soit un fabricant particulier, soit plusieurs fabricants. Elle est généralement installée dans le cloud, mais permet également des installations locales sur site et peut être gérée soit par Axeda, soit par le fabricant de l’appareil.

Les agents envoient des données télémétriques à leur plateforme et reçoivent des instructions. Un agent peut être affecté directement à un actif ou regrouper plusieurs actifs derrière la passerelle. La plupart des clients pour la gestion à distance d’Axeda viennent du domaine médical, écrit Forescout dans son message de sécurité. Mais Axeda a également des clients dans le secteur financier et dans la production.

Vulnérabilités d’Access:7

Les vulnérabilités concernent différents composants d’Axeda. Ainsi, le service AxedaDesktopServer.exe, dans lequel se trouve le logiciel de bureau à distance UltraVNC, contient des données d’accès codées en dur et permet de prendre le contrôle total d’un appareil (CVE-2022-25246, CVSS 9.8, risque « critique« ). Le composant ne serait toutefois pas actif dans tous les cas. Le service ERemoteServer.exe permet l’accès complet au système de fichiers et l’exécution de code en contrebande. Les fabricants ne devraient utiliser ce service que pour créer des agents préconfigurés pour une ligne de produits. Cependant, dans certains cas, les fabricants l’installent dans le cadre du package de l’agent (CVE-2022-25247, CVSS 9.8, critique).

L’agent xGate.exe écoute les instructions au format XML sur le port 3031 et permet aux attaquants de modifier la configuration de l’agent et de lire les informations sur le périphérique sans se connecter, ce qui semble également permettre d’exécuter du code personnalisé (CVE-2022-25251, CVSS 9.4, critique). De plus, une vulnérabilité de traversée de répertoire permet à xGate de lire n’importe quel fichier du système (CVE-2022-25249, CVSS 7.5, haut). De plus, l’agent xGate peut être arrêté de l’extérieur par une commande non documentée (CVE-2022-25250, CVSS 7.5, haut).

Tous les services Axeda utilisant la bibliothèque xBase39.dll peuvent être paralysés à cause d’un débordement de tampon lors du traitement de requêtes manipulées (CVE-2022-25252, CVSS 7.5, haut). La dernière vulnérabilité du paquet Access:7 concerne à nouveau le service ERemoteServer.exe et permet à des attaquants non connectés d’accéder à un fichier journal des événements en direct (CVE-2022-25248, CVSS 5.3, moyen).

Versions concernées

Toutes les vulnérabilités se trouvent dans le logiciel Axeda jusqu’à la version 6.9.3 incluse. Les chercheurs de Forescout ont développé des exploits de preuve de concept démontrant les failles de sécurité et les ont mis à disposition du fabricant PTC. Les fabricants d’appareils qui utilisent le logiciel Axeda devraient passer aux versions corrigées. Agent Axeda 6.9.1 Build 1046, 6.9.2 Build 1049 respectivement 6.9.3 Build 1051 et distribuer les mises à jour aux clients. Forescout explique également les mesures de contournement avec des modifications de configuration. Les clients de PTC doivent s’adresser directement à l’éditeur.

Pour les utilisateurs finaux, l’entreprise recommande d’identifier les appareils avec l’agent Axeda – elle tient une liste continuellement mise à jour des appareils concernés. La segmentation du réseau doit permettre de cloisonner ces appareils s’ils ne peuvent pas être mis à jour. En outre, l’accès aux ports des services vulnérables doit être limité. Forescout énumère les ports 3011, 3031, 3076, 3077, 5820, 5920, 56120 et 56130. Il est également conseillé de surveiller le trafic réseau à la recherche de paquets malveillants – les chercheurs en sécurité n’expliquent pas concrètement à quoi ressemblent de tels paquets ou quelles règles permettent d’y parvenir et pour quels logiciels. Dans la mesure où les fabricants mettent à disposition des mises à jour, les responsables informatiques devraient prévoir de les installer rapidement.

Les failles de sécurité Access:7 sont un autre exemple de vulnérabilités dans des composants tiers fournis. De telles failles de sécurité sont particulièrement problématiques dans le domaine de l’Internet des objets. L’installation de mises à jour y est souvent pour le moins difficile, parfois même impossible ou même non prévue.