Useita haavoittuvuuksia yleisesti käytetyssä PTC Axeda -alustassa

Axeda on IoT-alusta, jota käytetään useilla eri sektoreilla. Etäkäyttö - ja diagnostiikkapalveluihin käytetyn integrointialustan haavoittuvuudet mahdollistavat hyökkääjälle komentojen suorittamisen etänä.

Axeda-alustan haavoittuvuudet koskevat erilaisia laitevalmistajia. Organisaatioiden tulee selvittää, kuinka laajasti heillä on käytössään palveluita, joissa Axeda on etäkäyttö- tai diagnostiikkatyökalujen alustana.

Nyt julkaistut haavoittuvuudet mahdollistavat hyökkääjälle mm. komentojen suorittamisen etänä (RCE)

Axeda on käytössä ainakin terveys, finanssi ja energiasektoreilla. Axeda voi olla käytössä myös erilaisissa kriittisen infrastruktuurin toteutuksissa.

Tällä hetkellä laitevalmistajat tutkivat ja julkaisevat korjauksia palveluihinsa niin nopeasti kuin mahdollista. Organisaatioiden tulee etsiä ympäristöistään mahdolliset haavoittuvat toteutukset ja seurata laitevalmistajien julkaisemia päivityksiä.

Haavoittuvuuden kohde

Axeda agent: Kaikki versiot
Axeda Desktop Server Windows: Kaikki versiot

Mistä on kysymys?

Päivitä Axeda agent versioon 6.9.2 1049 tai 6.9.3 1051, jos käytät vanhempia Axeda agent-versioita

CISA: PTC Axeda agent and Axeda Desktop Server (ulkoinen linkki)

Forescout: New Supply Chain Vulnerabilities Impact Medical and IoT Devices (ulkoinen linkki)

Tekninen Forescoutin raportti: Access 7 How Supply Chain Vulnerabilities Can Allow Unwelcomed Access to Your Medical and IoT Devices (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.