ГлавнаяБаза уязвимостей БДУ → BDU:2022-01467
7.8высокая

BDU:2022-01467

Уязвимость платформы для создания и развертывания приложений корпоративного уровня PTC Axeda, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю прочитать произвольные файлы
Опубликовано: 2022-03-28
Описание

Уязвимость платформы для создания и развертывания приложений корпоративного уровня PTC Axeda связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, прочитать произвольные файлы посредством отправки специально созданного HTTP-запроса

Затрагиваемое ПО и версии
Axeda agent (до 6.9.3 1051)Axeda Desktop Server (до 6.9 215)
Способ устранения

Компенсирующие меры:
Настроить агент Axeda и сервер Axeda Desktop Server (ADS) для прослушивания локального хост-интерфейса 127.0.0.1.
Указать уникальный пароль в файле AxedaDesktop.ini для каждого устройства.
Не использовать ERemoteServer в рабочей среде.
Удалить файл ERemoteServer с хост-устройства
Удалить установочный файл, например: Gateway_vs2017-en-us-x64-pc-winnt-vc14-6.9.3-1051.msi
При работе в Windows или Linux разрешить подключение к ERemoteServer только с доверенных хостов и блокировать остальные.
При работе в операционной системе Windows настройте связь Localhost (127.0.0.1) между ERemoteServer и Axeda Builder

Информация от производителя:
https://www.ptc.com/en/support/article/CS363561
Для устранения уязвимостей производителем выпущены обновления безопасности. В связи со сложившейся в настоящее время обстановкой и введенными против Российской Федерации санкциями, обновления рекомендуется устанавливать только после оценки возможных сопутствующих рисков.

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://safe-surf.ru/upload/VULN/VULN-20220309.14.pdfhttps://www.cisa.gov/uscert/ics/advisories/icsa-22-067-01https://www.ptc.com/en/support/article/CS363561https://www.cybersecurity-help.cz/vdb/SB2022030905
Проверьте безопасность своего сайта и почты → Полная проверка домена