Clicky

Vulnerabilidades críticas afectan a cajeros automáticos, dispositivos médicos y de IoT

Access:7

Denominadas colectivamente "Access:7" afectan al software Axeda de PTC

Se han revelado hasta siete vulnerabilidades de seguridad en el software Axeda de PTC que podrían armarse para obtener acceso no autorizado a dispositivos médicos y de IoT (Internet de las Cosas).

Denominadas colectivamente "Access:7", las debilidades, tres de las cuales tienen una gravedad crítica, afectan potencialmente a más de 150 modelos de dispositivos de más de 100 fabricantes diferentes, lo que representa un riesgo significativo para la cadena de suministro.

La solución Axeda PTC incluye una plataforma en la nube que permite a los fabricantes de dispositivos establecer conectividad para monitorear, administrar y dar servicio de forma remota a una amplia gama de máquinas, sensores y dispositivos conectados a través de lo que se denomina el agente, que instalan los OEM antes de que los dispositivos se vendan a clientes.

"Access:7 podría permitir a los piratas informáticos ejecutar de forma remota código malicioso, acceder a datos confidenciales o alterar la configuración en dispositivos médicos y de IoT que ejecutan el agente de administración y código remoto Axeda de PTC", dijeron investigadores de Forescout y CyberMDX en un informe conjunto publicado hoy.

De los 100 proveedores de dispositivos afectados, el 55 % pertenece al sector de la salud, seguido por las industrias de IoT (24 %), TI (8 %), servicios financieros (5 %) y fabricación (4 %). No menos del 54% de los clientes con dispositivos que ejecutan Axeda se han identificado en el sector de la salud.

Además de las máquinas de imágenes médicas y de laboratorio, los dispositivos vulnerables incluyen todo, desde cajeros automáticos, máquinas expendedoras, sistemas de administración de efectivo e impresoras de etiquetas hasta sistemas de escaneo de códigos de barras, sistemas SCADA, soluciones de monitoreo y seguimiento de activos, puertas de enlace de IoT y cortadores industriales.

Axeda Agent

La explotación exitosa de las fallas podría equipar a los atacantes con capacidades para ejecutar código malicioso de forma remota para tomar el control total de los dispositivos, acceder a datos confidenciales, modificar configuraciones y cerrar servicios específicos en los dispositivos afectados.

Las fallas, que afectan a todas las versiones de Axeda Agent anteriores a la 6.9.3, se informaron a PTC el 10 de agosto de 2021 como parte de un proceso de divulgación coordinado que involucró a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), Centro de Análisis e Intercambio de Información de Salud (H-ISAC) y la Administración de Alimentos y Medicamentos (FDA).

Para mitigar las fallas y evitar una posible explotación, se recomienda a los usuarios actualizar a la versión 6.9.1 build 1046, 6.9.2 build 1049 o 6.9.3 build 1051 del agente Axeda.

Esta no es la primera vez que salen a la luz vulnerabilidades críticas de seguridad dirigidas principalmente a los sistemas de atención médica. En diciembre de 2020, CyberMDX reveló "MDhex-Ray", una falla grave en los productos de imágenes por tomografía computarizada, rayos X y resonancia magnética de GE Healthcare que podría resultar en la exposición de información de salud protegida.

"Access:7 afecta una solución vendida a fabricantes de dispositivos que no desarrollaron su propio sistema de servicio remoto", dijeron los investigadores. "Esto lo convierte en una vulnerabilidad de la cadena de suministro y, por lo tanto, afecta a muchos fabricantes y dispositivos intermedios".

Jesus_Caceres