Krytyczne błędy ujawniają setki tysięcy urządzeń medycznych i bankomatów

0
269

Specjalistyczna opieka zdrowotna urządzenia, od narzędzi do obrazowania, takich jak tomografy komputerowe, po sprzęt laboratoryjny diagnostyczny, są często nieodpowiednio chronione w sieciach szpitalnych. Teraz nowe odkrycia dotyczące siedmiu luk w narzędziu do zdalnego zarządzania Internetem rzeczy podkreślają wzajemnie powiązane zagrożenia w urządzeniach medycznych i szerszym ekosystemie IoT.

Badacze z firmy CyberMDX zajmującej się bezpieczeństwem opieki zdrowotnej, która została przejęta w zeszłym miesiącu przez firmę Forescout zajmującą się bezpieczeństwem Internetu Rzeczy, znaleźli siedem łatwych do wykorzystania luk w zabezpieczeniach, określanych zbiorczo jako Access:7, w narzędziu zdalnego dostępu IoT PTC Axeda. Platforma może być używana z dowolnym urządzeniem wbudowanym, ale okazała się szczególnie popularna w sprzęcie medycznym. Naukowcy odkryli również, że niektóre firmy wykorzystywały go do zdalnego zarządzania bankomatami, automatami sprzedającymi, systemami skanowania kodów kreskowych i niektórymi przemysłowymi urządzeniami produkcyjnymi. Naukowcy szacują, że luki w Access:7 znajdują się w setkach tysięcy urządzeń. W przeglądzie swoich klientów firma Forescout znalazła ponad 2000 podatnych systemów.

„Można sobie wyobrazić, jaki wpływ może mieć osoba atakująca, która może wykraść dane ze sprzętu medycznego lub innych wrażliwych urządzeń, potencjalnie manipulować wynikami laboratoryjnymi, uniemożliwić dostęp do krytycznych urządzeń lub całkowicie je przejąć”, mówi Daniel dos Santos, kierownik badań bezpieczeństwa w firmie Forescout.

Niektóre luki dotyczą problemów związanych ze sposobem, w jaki Axeda przetwarza nieudokumentowane i nieuwierzytelnione polecenia, umożliwiając atakującym manipulowanie platformą. Inne dotyczą problemów z domyślną konfiguracją, takich jak zakodowane na stałe, łatwe do odgadnięcia hasła systemowe współdzielone przez wielu użytkowników Axeda. Trzy z siedmiu podatności są oceniane jako krytyczne, a pozostałe cztery to błędy o średnim lub wysokim stopniu ważności.

Osoby atakujące mogą potencjalnie wykorzystać te błędy do przechwycenia danych pacjentów, zmiany wyników badań lub innej dokumentacji medycznej, przeprowadzenia ataków typu „odmowa usługi”, które mogą uniemożliwić dostawcom opieki zdrowotnej dostęp do danych pacjentów, gdy ich potrzebują, zakłócić przemysłowe systemy kontroli, a nawet zdobyć przyczółek do atakuj bankomaty.

Luki w zabezpieczeniach nie są rzadkością w tej dziedzinie, ale atakujący szczególnie łatwo mógłby je wykorzystać. Jeśli zostaną wykorzystane, potencjalne szkody spowodowane błędami Access:7 mogą być porównywalne z niedawną falą ataków ransomware, które wywodzą się z hakerów wykorzystujących luki w oprogramowaniu do zarządzania IT firmy Kaseya. Produkty są różne, ale ich wszechobecność stwarza podobne warunki dla destrukcyjnych ataków. A Access:7 wpasowuje się w szerszy obraz długotrwałego braku bezpieczeństwa IoT i historycznych, nierozwiązanych luk w zabezpieczeniach.

Naukowcy pracowali nad skoordynowanym ujawnianiem informacji z PTC, która wydała łatki na wady, a także z amerykańską Agencją Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury, H-ISAC oraz Food and Drug Administration.

„To ujawnienie jest kulminacją wspólnych wysiłków między PTC, CyberMDX i CISA”, powiedział PTC WIRED w oświadczeniu. „PTC i CyberMDX współpracowały, aby dokładnie zbadać i wdrożyć odpowiednie środki zaradcze dotyczące luk. Następnie PTC powiadomiła klientów i pokierowała ich działaniami naprawczymi przed ujawnieniem. … Rezultatem jest większa świadomość użytkowników i możliwość rozwiązania potencjalnego zagrożenia dla ich systemów i danych.”

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj