Alert!

Fernverwaltung mit Sicherheitslücke gefährdet medizinische Geräte

Viele medizinische IoT-Geräte enthalten Fernverwaltungssoftware von Axeda/PTC. Sicherheitslücken ermöglichen Angreifern das Einschleusen von Schadcode.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Aufmacher Access:7-Lücke ermöglicht RCE in medizinischen IoT-Geräten
Lesezeit: 4 Min.
Von
Inhaltsverzeichnis

Sicherheitslücken in der OEM-Fernverwaltungslösung von Axeda könnten Angreifer missbrauchen, um eingeschleusten Code auszuführen, die Geräte lahmzulegen oder Daten zu manipulieren. Da die Software großteils in zahlreichen medizinischen Internet-of-Things-Geräten zum Einsatz kommt, gefährdet das möglicherweise die Patientensicherheit.

Eine Abteilung des IT-Sicherheitsunternehmens Forescout hat die Axeda-Software untersucht und dabei sieben teils kritische Schwachstellen entdeckt. Diesem Sicherheitslücken-Bündel gaben sie den Namen "Access:7".

Die Firma Axeda wurde 2014 von PTC gekauft, wodurch gelegentlich auch dieser Name in dem Kontext auftaucht. Die Axeda-Fernverwaltung ermöglicht Herstellern, ihre Geräte aus der Ferne zu überwachen, verwalten und warten.

Sie besteht aus einer sogenannten Plattform, Agents und Assets. Die Plattform ist die Server-Komponente und bedient entweder einen bestimmten oder mehrere Hersteller. Sie ist meist in der Cloud aufgesetzt, erlaubt aber auch lokale OnPremise-Installationen und kann entweder durch Axeda oder vom Gerätehersteller verwaltet werden.

Die Agenten senden Telemetriedaten zu ihrer Plattform und empfangen Anweisungen. Ein Agent kann direkt einem Asset oder bündelnd mehreren Assets hinter dem Gateway zugeordnet sein. Die meisten Kunden für die Axeda-Fernverwaltung kommen aus dem medizinischen Bereich, schreibt Forescout in der Sicherheitsmeldung. Aber auch im Finanzbereich und in der Fertigung habe Axeda Kundschaft.

Die Sicherheitslücken betreffen unterschiedliche Komponenten von Axeda. So enthält der Dienst AxedaDesktopServer.exe, in dem die UltraVNC-Remote-Desktop-Software steckt, hartkodierte Zugangsdaten und ermöglicht die volle Kontrolle über ein Gerät (CVE-2022-25246, CVSS 9.8, Risiko "kritisch"). Die Komponente sei jedoch nicht in jedem Fall aktiv. Der Dienst ERemoteServer.exe ermöglicht vollen Dateisystemzugriff und das Ausführen eingeschmuggelten Codes. Diesen Dienst sollten Hersteller lediglich verwenden, um vorkonfigurierte Agents für eine Produktlinie zu erstellen. In einigen Fällen installieren Hersteller ihn jedoch als Teil des Agent-Pakets mit (CVE-2022-25247, CVSS 9.8, kritisch).

Der xGate.exe-Agent hört auf Anweisungen im XML-Format auf Port 3031 und ermöglicht Angreifern ohne Anmeldung, die Agenten-Konfiguration zu ändern sowie Informationen zum Gerät auszulesen; das ermöglicht offenbar auch, eigenen Code zur Ausführung zu bringen (CVE-2022-25251, CVSS 9.4, kritisch). Zudem ermöglicht xGate durch eine Directory-Traversal-Schwachstelle das Auslesen beliebiger Dateien vom System (CVE-2022-25249, CVSS 7.5, hoch). Weiterhin kann der xGate-Agent durch einen nicht dokumentierten Befehl von außen beendet werden (CVE-2022-25250, CVSS 7.5, hoch).

Alle Axeda-Dienste, die die xBase39.dll-Bibliothek nutzen, können aufgrund eines Pufferüberlaufs beim Verarbeiten manipulierter Anfragen lahmgelegt werden (CVE-2022-25252, CVSS 7.5, hoch). Die letzte Schwachstelle aus dem Access:7-Paket betrifft abermals den Dienst ERemoteServer.exe und ermöglicht nicht angemeldeten Angreifern Zugriff auf eine Live-Ereignisprotokolldatei (CVE-2022-25248, CVSS 5.3, mittel).

Alle Schwachstellen finden sich in der Axeda-Software bis einschließlich Version 6.9.3. Die Forescout-Forscher haben Proof-of-Concept-Exploits entwickelt, die die Sicherheitslücken demonstrieren, und dem Hersteller PTC zugänglich gemacht. Gerätehersteller, die Axeda-Software nutzen, sollten auf die fehlerbereinigten Versionen Axeda Agent 6.9.1 Build 1046, 6.9.2 Build 1049 respektive 6.9.3 Build 1051 aktualisieren und die Updates an Kunden verteilen. Auch Umgehungsmaßnahmen mit Konfigurationsänderungen erläutert Forescout. PTC-Kunden sollen sich direkt an den Hersteller wenden.

Für Endkunden empfiehlt das Unternehmen, die Geräte mit Axeda-Agent zu identifizieren – es führt eine fortlaufend aktualisierte Liste betroffener Geräte. Durch Netzwerksegmentierung sollen diese Geräte abgeschottet werden, sofern sie nicht aktualisiert werden können. Zudem sollte der Zugriff auf die Ports der verwundbaren Dienste beschränkt werden. Forescout listet die Ports 3011, 3031, 3076, 3077, 5820, 5920, 56120 und 56130 auf. Eine Überwachung des Netzwerkverkehrs auf bösartige Pakete sei ebenfalls anzuraten – wie solche Pakete konkret aussehen oder mit welchen Regeln für welche Software dies gelingt, erläutern die Sicherheitsforscher nicht. Sofern die Hersteller Updates bereitstellen, sollten IT-Verantwortliche zeitnah die Installation einplanen.

Die Access:7-Sicherheitslücken sind ein weiteres Beispiel für Schwachstellen in zugelieferten Dritthersteller-Komponenten. Insbesondere im Internet-of-Things-Bereich sind solche Sicherheitslücken äußerst problematisch. Das Einspielen von Aktualisierungen ist hier oftmals zumindest schwierig, teilweise sogar unmöglich oder gar nicht vorgesehen.

Lesen Sie auch:

(dmk)