Уязвимости в PTC Axeda актуальны для IoT-устройств более 100 вендоров

Уязвимости в PTC Axeda актуальны для IoT-устройств более 100 вендоров

Уязвимости в PTC Axeda актуальны для IoT-устройств более 100 вендоров

В софте производства Axeda (собственность компании PTC Inc.) выявлены семь уязвимостей, позволяющих получить несанкционированный доступ к подключенному к облаку оборудованию. Проблемы, получившие общее имя Access:7, потенциально затрагивают более 150 моделей смарт-устройств 100+ производителей; патчи уже доступны.

Решения PTC Axeda предоставляют платформу для безопасного подключения машин, IoT и датчиков к облаку, а также для дистанционного мониторинга и управления такими активами. Эти продукты охотно покупают OEM-провайдеры, не имеющие собственной системы удаленного обслуживания; программный агент Axeda при этом заранее устанавливается на устройства, отгружаемые клиентам.

Согласно бюллетеню американской ICS-CERT (Группы быстрого реагирования на киберинциденты в сфере АСУ ТП), уязвимостям Access:7 подвержены все прежние версии агента и десктопного сервера Axeda. Эксплойт осуществляется удаленно, аутентификации при этом не требуется.

Перечень с краткой характеристикой проблем (три признаны критическими) представлен также в бюллетене разработчика и блог-записи авторов находки:

  • CVE-2022-25246 (9,8 балла CVSS) — вшитые в код учетные данные к VNC позволяют захватить контроль над хост-системой со службой ADS (AxedaDesktopServer.exe);
  • CVE-2022-25247 (9,8 балла) — уязвимость в ERemoteServer.exe, грозящая удаленным исполнением стороннего кода и внесением изменений в файловую систему посредством подачи команд на определенном порту;
  • CVE-2022-25251 (9,8) — отсутствие аутентификации для ряда команд, поддерживаемых агентом Axeda xGate.exe; позволяет изменить его настройки через отправку особых XML-сообщений;
  • CVE-2022-25249 (7,5) — возможность выхода за пределы рабочего каталога в Axeda xGate.exe; эксплойт позволяет получить неограниченный доступ на чтение к файловой системе веб-сервера;
  • CVE-2022-25250 (7,5) — возможность вызвать DoS-отказ Axeda xGate.exe через инъекцию незадокументированной команды на определенном порту;
  • CVE-2022-25252 (7,5) — грозящее DoS переполнение буфера в Axeda xBase39.dll при обработке запросов, вызывающих исключения;
  • CVE-2022-25248 (5,3) — ошибка раскрытия информации в ERemoteServer.exe (при подключении к порту службы можно получить доступ к журналу событий, регистрируемых в реальном времени).

В Forescout ведут списки вендоров и устройств, затронутых Access:7; первый уже насчитывает более 100 позиций, второй перевалил за 150. Больше половины потенциально уязвимых устройств, по данным экспертов, используются в сфере здравоохранения (в основном это системы визуализации и лабораторное оборудование). Решения PTC Axeda используются также в ритейле (торговые автоматы, принтеры этикеток со штрихкодами), промышленном производстве (SCADA, IoT-шлюзы), финансовом секторе (банкоматы).

 

Данных о злонамеренном использовании какой-либо уязвимости Access:7 на настоящий момент нет. Патчи для агента Axeda включены в состав выпусков 6.9.1 build 1046, 6.9.2 build 1049 и 6.9.3 build 1051. Софт ADS команда ICS-CERT рекомендует обновить до версии 6.9 сборки 215.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Max будет интегрирован с Госуслугами к ноябрю

Мессенджер Max, которого называют главным претендентом на статус национального, планируют интегрировать с порталом «Госуслуги» осенью 2025 года — ориентировочно в октябре–ноябре. Полный набор заявленных функций должен быть реализован к началу 2026 года.

Такой прогноз озвучила сенатор Ольга Епифанова в комментарии сетевому изданию «Газета.RU». По её словам, появление подобного супераппа значительно упростит и ускорит основные процедуры взаимодействия граждан с государством.

«Интеграция долгожданного национального мессенджера с порталом “Госуслуги” и системой ЕСИА ожидается осенью 2025 года — предположительно в октябре–ноябре. Завершение переноса всех функций планируется к началу 2026 года. Мессенджер объединит цифровую идентификацию, доступ к госуслугам и возможность совершать финансовые операции», — сообщила сенатор.

Уже с сентября Max будет предустанавливаться на все новые устройства, поставляемые в Россию. Пользователи смогут вести переписку не только на русском языке, но и на официальных языках субъектов РФ.

Ключевым преимуществом, по мнению Ольги Епифановой, станет высокий уровень безопасности. Регистрация в мессенджере будет невозможна с использованием виртуальных номеров, а звонки с незарегистрированных номеров и активность ботов — блокироваться. Все пользовательские данные будут храниться исключительно на территории России.

«Факт того, что любые действия пользователя — от переписки до финансовых операций — окажутся в поле зрения государственных структур, будет полезен при разрешении споров с банками, организациями и в судах, особенно если человек стал жертвой мошенников. Данные планируется хранить исключительно в России. Всё это — в интересах национальной безопасности и индивидуальной цифровой защищённости каждого гражданина», — резюмировала Ольга Епифанова.

Накануне президент Владимир Путин подписал закон о создании многофункционального цифрового сервиса — национального мессенджера. Наибольшие шансы получить этот статус сейчас имеет вышедший в марте Max от ВК.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru