关于Axeda漏洞的经验教训

今年3月，一个影响Parameteric Technology Corporation（PTC）Axeda代理和Axeda桌面服务器的漏洞被宣布。网络安全和基础设施安全局（CISA）发布了咨询ICSA-22-068-01，指出该漏洞可以远程利用，攻击复杂度低等。这篇文章是反思潜在安全缺陷以及我们可以从中学习到什么。

Axeda是什么？漏洞的范围是什么？

Axeda是物联网环境中常用的远程访问软件。根据Forescout的数据，Axeda的用户群中有54%是医疗机构，Axeda代理经常被植入医疗设备中。这些代理通常用于远程诊断。

根据CISA于2022年3月31日发布的漏洞更新（更新C），自该漏洞首次发布以来，问题的范围已显著扩大。医疗系统中的一些大公司受到Axeda漏洞的影响。

被称为“访问：7”的七个常见漏洞和暴露（CVE）已被识别，其中最严重的是允许远程代码执行（RCE）、信息泄露和拒绝服务（DoS）攻击。已知的受影响设备清单意义重大，影响了100多家医疗设备供应商及其数千名客户。

我们能从Axeda CVE中学到什么？

1）CVE-2022-25246呼吁在其UltraVNC安装中使用硬编码凭据。该漏洞的严重性得分为9.8，并在环境中引入了RCE的可能性。我想我们都同意，硬编码凭证是一种糟糕的安全做法。然而，无论是在“图像驱动”安装中，还是在方便性取代安全性的环境中，这种情况都太常见了。

2）如果攻击者“在未经身份验证的情况下向特定端口发送特定命令”，CVE-2022-25247可能允许在目标系统上进行文件系统访问或RCE。除了9.8严重性评分外，CVE的其他几个部分也会立即出现危险信号。

一种既安全又方便的方法是使用密码保险库。BeyondTrust密码安全解决方案允许密码和会话管理（通过各种协议/连接选项），以及注入和循环密码的方便性和安全性。将密码注入会话时，a）技术人员（无论是内部人员还是供应商）不必知道密码，b）使用的凭证是旋转的。再加上一个审计日志，你就有了它，方便又安全。这一功能的用处遍及整个组织

使用BeyondTrust Privileged Remote Access（PRA），可以在远程网络中设置Jumppoint，其中所需的只是从Jumppoint到internet的出站连接。任何有权通过该JumpPoint连接到远程设备的人都必须进行身份验证（通过LDAP、RADIUS、Kerberos或SAML），并拥有创建协议隧道的适当权限。这些权限还控制此流量可以通过哪些端口发送。可以实时跟踪这些会话，并且有一个完整会话的审核日志来查看发生了什么（通过文本和视频）。

现代环境需要现代解决方案

这里有三个方面可以使您的物联网/监控与数据采集环境现代化并提高安全性：

1.安全连接-永远不要打开端点的入站端口。或者，如果端口打开，请确保只有指定的堡垒主机可以与这些设备连接。这方面的一个例子是BeyondTrust JumpPoint。JumpPoint（可安装在Windows或Linux主机上）使用TLS 1.3加密隧道，通过端口443将出站连接到BeyondTrust设备（无论是云设备还是本地设备）。这种类型的安全连接代表了一种最佳实践，因为它不会让设备保持打开状态，也不允许在网络中从一个设备跳到另一个设备。

2.身份——在当今的动态环境中，本地用户名/密码甚至静态Active Directory帐户都不再足够（如果它们曾经足够的话）。BeyondTrust Password Safe允许组织定义角色、分配访问权限、大大减少长期权限，并以最大程度提高安全性的方式利用凭据（注入和签出/签入）。此外，当安全访问连接发生时以及系统中使用凭证时，会生成日志。这不仅确保了作为一个组织，您知道发生了什么，而且这些日志将使安全审计变得更加简单。

3.日志记录——说到日志记录，BeyondTrust PRA解决方案允许捕获远程会话的完整视频。这既适用于组织的内部会议，也适用于由第三方（供应商、承包商、外包商等）进行的会议。视频捕获对应于一个带有时间戳的文本日志，该日志显示会话期间发生的所有活动。这些日志可以是独立的，也可以集成到像ServiceNow这样的系统中，以便更全面地了解变更或事件记录单期间发生的情况。