医療/金融と IoT のデバイスに Access:7 という脆弱性:複数のベンダーが利用する PTC の Axeda

Medical, IoT Devices From Many Manufacturers Affected by ‘Access:7’ Vulnerabilities

2022/03/08 SecurityWeek — 企業向けセキュリティ企業の Forescout によると、多くの IoT および医療用デバイスは、広い範囲で使用されているリモート管理ソフトウェアで発見された、深刻な7つの潜在的な脆弱性の影響を受けているとのことだ。この調査は、IIoT ソリューション・プロバイダーである、PTC の Axeda プラットフォームにフォーカスしている。そして、具体的な調査は、先日に Forescout に買収された、医療デバイスのサイバー・セキュリティ企業である、CyberMDX の従業員により行われた。

Axeda は、機械やセンサーなどの接続されたデバイスに、デバイス・メーカーがリモートでアクセス/管理できるように設計されている。CyberMDX は、顧客システム上の Axeda エージェント・コンポーネントに関連する、潜在的なセキュリティ問題に気づいた後に、調査を開始した。Axeda エージェントとは、デバイスにインストールされ、テレメトリーの送信やリモートサービスを目的として、Adexa プラットフォームのサーバーと通信するものだ。

CyberMDX の分析により、Access:7 と総称される、7つのサプライチェーン脆弱性が発見された。このうち3つの脆弱性は、リモートコード実行のために悪用される可能性があり、それらは Critical と評価されている。他の3つの問題 (2つは DoS/1つは情報取得) は、深刻度 High と評価されている。

これらの脆弱性は、100社以上のメーカーの、150以上のデバイス・モデルに影響を与えることが判明している。影響を受けたベンダーの大半はヘルスケア分野 (55%) であり、それに IoT (24%)/IT (8%)/金融サービス (5%)/製造 (4%) などが続いている。

これらの脆弱性の悪用に成功した攻撃者は、ネットワークへの初期アクセス/潜在的な機密データの流出/影響を受ける機器の破壊などが可能となり、医療システムの場合には、深刻な影響を及ぼす可能性がある。

Axeda は、すでに生産を終了しているが、ベンダーとしては、デバイス・メーカーが顧客に提供するためのパッチをリリースしている。また、緩和策や回避策も用意されている。

CyberMDX によると、この脆弱性については、ベンダーへの最初の通知から、210日後に公開されたとのことだ。CISA や FDA (Food and Drug Administration) などの米国政府機関も、この欠陥について知らされており、PTC のアクティブな顧客も同様に知らされている。

PTC は、「これらの脆弱性の、いずれにおいても、悪用に関する兆候はなく、当社として認識もしていない」と、ベンダー・アドバイザリで述べている。Access:7 脆弱性に関する追加情報は、Forescout の Web サイトに掲載されているレポートから入手できる。

Axeda について調べてみたら、Machine Cloud Service/Connected Content Application/Connected Service Application といったラインナップを持っているようです。その中には、PTC の SLM ソリューションを補完し、デバイスの問題をリモートで特定/診断/修理するツール群があるようです。また、最近の Health Care 関連の記事としては、2021年11月の「Philips Tasy EMR ヘルスケアに深刻な SQL インジェクションの脆弱性」および、「Tardigrade マルウェアの高自律性に注意:Covid-19 ワクチン製造ラインを狙っている」、そして、2022年3月3日の「医療用輸液ポンプのセキュリティ:古いデバイスの古い脆弱性が危険な状況に」などがあります。よろしければ、カテゴリ HealthCare も、ご利用ください。

%d bloggers like this: