https://thehackernews.com/2022/03/critical-access7-supply-chain.html
PTCのAxedaソフトウェアには、医療およびIoTデバイスへの不正アクセスを取得するために武器化される可能性のある7つのセキュリティ脆弱性が開示されています。
「Access:7により、ハッカーは悪意のあるコードをリモートで実行したり、機密データにアクセスしたり、PTCのAxedaリモートコードおよび管理エージェントを実行している医療およびIoTデバイスの構成を変更したりできる可能性があります」とForescoutとCyberMDXの研究者は本日発表された共同レポートで述べています。
CVE-2022-25246(CVSSスコア:9.8)–デバイスのリモートテイクオーバーを可能にする可能性のあるAxedaDesktopServer.exeサービスでのハードコードされたクレデンシャルの使用
CVE-2022-25249(CVSSスコア:7.5)– Axeda xGate.exeエージェントのディレクトリトラバーサルの欠陥で、認証されていないリモートの攻撃者がWebサーバー上のファイルシステムの読み取りアクセスを取得する可能性があります
CVE-2022-25248(CVSSスコア:5.3)–ERemoteServer.exeサービスの情報開示の欠陥。
欠陥の悪用に成功すると、攻撃者は悪意のあるコードをリモートで実行して、デバイスを完全に制御し、機密データにアクセスし、構成を変更し、影響を受けるデバイスの特定のサービスをシャットダウンすることができます。
重大な「アクセス:7」サプライチェーンの脆弱性がATM、医療およびIoTデバイスに影響を与えるnoreply@blogger.com(Ravie Lakshmanan)
security summary
コメント