I ricercatori di sicurezza IT dell’azienda di sicurezza sanitaria CyberMDX e Forescout, hanno identificato ben 7 vulnerabilità nel software Axeda fornito dalla società PTC (Parametric Technology Corporation) che potrebbero essere utilizzate per ottenere accessi non autorizzati e rendere fuori servizio apparecchiature e dispositivi critici.
Queste vulnerabilità denominate collettivamente come Access:7, interessando potenzialmente diversi produttori (Axeda è una piattaforma compatibile con diversi dispositivi embedded ATM, sanitari e IoT) pongono in serio rischio tutta la catena di approvvigionamento.
Secondo il rapporto, dei 100 fornitori di dispositivi interessati, il 55% apparterrebbe al settore sanitario seguito da quello IoT (24%), IT (8%), servizi finanziari (5%) e manifatturiero (4%).
L’Agente Axeda
La soluzione Axeda di PTC include una piattaforma cloud che consente di monitorare, gestire e fornire assistenza remota a una vasta gamma di sensori e dispositivi connessi tramite un “Agent” installato sui dispositivi venduti ai propri clienti. Detto questo i bug Access:7 potrebbero consentire ad un attaccante di eseguire in remoto codice dannoso, accedere a dati sensibili o modificare la configurazione su quei dispositivi che eseguono tale agente per la gestione.
Le vulnerabilità Acces:7
Le vulnerabilità, che interessano tutte le versioni dell’agent Axeda precedenti alla versione 6.9.3, sono stati segnalati a PTC in una campagna di divulgazione che ha coinvolto CISA (Cybersecurity and Infrastructure Security Agency), H-ISAC (Health Information Sharing and Analysis Center) e FDA (Food and Drug Administration).
Ecco la tabella descrittiva dei difetti con i potenziali impatti e punteggi CVSS v3.1.
Consigli di mitigazione
Purtroppo gli attacchi alla supply chain si confermano essere una delle tendenze più in aumento nel panorama del cyber crime sia in termini di numeri che di complessità e sofisticazione.
In questo caso per mitigare gli effetti e prevenire possibili sfruttamenti di Access:7 si consiglia di eseguire il prima possibile l’aggiornamento all’agent Axeda versione 6.9.1 build 1046, 6.9.2 build 1049 o 6.9.3 build 1051 visitando il portale ufficiale PTC.
Qui trovate anche il rapporto completo Forescout.
