针对医疗器械的 Access:7 漏洞曝光，可远程控制设备窃取数据

最近的网络安全研究发现，Axeda 软件曝出多达7个高危安全漏洞，这些漏洞可以被武器化用于以未经授权访问医疗物联网设备。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，这些漏洞统称为 Access:7 ，其中3个严重程度被评为“高危”，可能会影响100 多家不同制造商的150 多种设备型号，从而形成重大的供应链威胁。

Axeda 解决方案包括一个云平台，在设备出售给用户之前，允许设备制造商建立连接，通过所谓的代理远程监控、管理和服务各种连接的机器、传感器和设备。安全研究人员发布的一份报告中表示，Access:7 可以让黑客远程执行恶意代码、访问敏感数据或更改运行 Axeda 远程代码和管理代理的医疗和物联网设备的配置。

除了医学成像和实验室机器外，易受攻击的设备还包括 ATM 机、自动售货机、现金管理系统和标签打印机到条形码扫描系统、SCADA 系统、资产监控和跟踪解决方案、物联网网关和工业切割机的所有设备。

漏洞列表如下：

• CVE-2022-25246（CVSS 评分：9.8）– 在 AxedaDesktopServer.exe 服务中使用硬编码凭据，可以远程接管设备。
• CVE-2022-25247（CVSS 评分：9.8）– ERemoteServer.exe 中的一个漏洞，可用于发送特制命令以获取远程代码执行 (RCE) 和完整的文件系统访问权限。
• CVE-2022-25251（CVSS 评分：9.8）– Axeda xGate.exe 代理中缺少可用于修改代理配置的身份验证。
• CVE-2022-25249（CVSS 评分：7.5）– Axeda xGate.exe 代理中的目录遍历漏洞，可能允许远程未经身份验证的攻击者获取 Web 服务器上的文件系统读取访问权限。
• CVE-2022-25250（CVSS 评分：7.5）– Axeda xGate.exe 代理中的拒绝服务 (DoS) 漏洞，通过注入未记录的命令。
• CVE-2022-25252（CVSS 评分：7.5）– Axeda xBase39.dll 组件中的缓冲区溢出漏洞，可能导致拒绝服务 (DoS)。
• CVE-2022-25248（CVSS 评分：5.3）– ERemoteServer.exe 服务中的信息泄露漏洞，将实时事件文本日志暴露给未经身份验证的各方。

成功利用这些漏洞可以使攻击者具备远程执行恶意代码以完全控制设备、访问敏感数据、修改配置以及关闭受影响设备中的特定服务的能力。为了缓解漏洞并防止可能的利用，建议用户升级到 Axeda 代理版本 6.9.1 build 1046、6.9.2 build 1049 或 6.9.3 build 1051。

Access:7 影响了出售给未开发内部远程服务系统的设备制造商的解决方案。这使其成为供应链漏洞，因此影响了许多下游制造商和设备。