Security Week 05: критические уязвимости медицинских устройств +7


23 января подразделение американского департамента внутренней безопасности, ответственное за киберугрозы, опубликовало информацию о шести серьезных уязвимостях в медицинских устройствах (новость, исходный документ). Проблемы были обнаружены в больничном оборудовании компании GE, включая медицинские мониторы Carescape B450, 650 и 850. По шкале CVSSv3 пять уязвимостей получили 10 баллов — высшую оценку, обозначающую возможность удаленной эксплуатации без специальных навыков. Раскрытие данных о проблемах в специализированной технике происходит нечасто и позволяет оценить уровень защищенности таких устройств.



На фото выше — одно из устройств, упомянутых в сообщении, монитор Carescape B650. Спецификации на сайте отсутствуют, и даже в даташите не указана аппаратная платформа и используемая операционная система. Но дата в документе (2010 год) указывает на очевидную проблему такого оборудования: стоит дорого, используется долго. По сути это независимый компьютер с 15-дюймовым дисплеем, способный работать автономно и подключающийся к проводной или беспроводной сети для передачи данных.

Для этого устройства актуальны две уязвимости: CVE-2020-6962 описывает проблему с валидацией введенных данных в веб-интерфейсе, которая может привести к запуску произвольного кода. CVE-2020-6965, судя по всему, намекает на незащищенную систему обновления ПО, которая позволяет загружать на монитор произвольные файлы без авторизации.

В описании других уязвимостей упоминаются вшитые ключи SSH для удаленного доступа в серверном оборудовании, вшитые данные для доступа по протоколу SMB, возможность удаленной передачи нажатий клавиш без авторизации, ненадежное шифрование при подключении по протоколу VNC. Все шесть уязвимостей были обнаружены компанией CyberMDX, чуть подробнее о них рассказывается в этой публикации на сайте Bleeping Computer. Они затрагивают как системы на базе Linux, где проблема была обнаружена в устаревшей версии админки Webmin, так и «полевые» устройства на базе Windows XP Embedded (именно там нашли вшитые пароли для доступа по SMB). Старые версии либо неправильная конфигурация ответственны также за удаленный клавиатурный доступ (через ПО Multimouse и Kavoom!).



Рекомендации американского агентства очевидны: изолировать сеть с медицинским оборудованием, запретить удаленный доступ по протоколам SSH, VNC, SMB, ограничить физический доступ к управляющим серверам, сменить дефолтные пароли, ввести практику использования безопасных паролей персоналом. Производитель устройств работает над закрытием части уязвимостей, но о выпуске патчей пока не сообщалось.

Уязвимости в медицинском оборудовании напрямую угрожают жизни людей. Практические атаки, информация о которых попадает в СМИ, в основном ограничиваются шифрованием данных с последующим вымогательством (пример, еще пример). Специализированные устройства с длительным сроком эксплуатации, нерегулярными обновлениями ПО и аудитами безопасности могут послужить точкой входа в компьютерную сеть организации. За традиционными атаками следуют манипуляции с компьютерными устройствами, определяющими, например, дозу лекарства (пример). К счастью, такие сценарии обычно реализуются только в лабораторных условиях. В любом случае медицинская IT-инфраструктура вполне может быть отнесена к критической. И в отличие от энергетической отрасли, больницы и поликлиники чаще всего существуют в условиях хронического недостатка финансирования.

Что еще произошло


В Trend Micro создали реалистичный ханипот промышленного производства, даже с сайтом и почтовым сервером несуществующей компании. В подробном отчете приведены результаты работы ханипота за полгода. Ничего особо интересного: атаки троянами-шифровальщиками, причем в одном случае атака была фейковая. Кто-то руками переименовал пачку файлов и требовал выкуп. В редких случаях были попытки управлять промышленными контроллерами, но дальше экспериментов дело не зашло (в одном случае эксперимент закончился успешным выключением виртуального станка).

Серьезная уязвимость обнаружена в сервисе для конференц-связи Cisco Webex. Если знать номер конференц-звонка, можно подключиться к нему без авторизации с мобильного устройства. Решено обновлением мобильных версий ПО.



«Лаборатория Касперского» исследовала троян Shlayer, нацеленный на компьютеры под управлением macOS. Да, злоумышленники по-прежнему предлагают обновить Flash Player. Но используются и новые приемы распространения трояна помимо традиционных баннеров на сайтах с торрентами. Упоминаются попытки вставить вредоносные ссылки в Википедию и описания видеороликов на YouTube.

Обнаружена уязвимость с обходом авторизации в веб-интерфейсе Cisco Firepower Management Center, который используется для управления сетевыми устройствами.

В браузере Safari обнаружили недостаточную защиту пользователей в инкогнито-режиме. Информация из СМИ, технический отчет исследователей (из компании Google) пока не опубликован.

Свежие утечки данных: Microsoft почти месяц держала в открытом доступе базу данных техподдержки с информацией за 14 лет. Если база попала к злоумышленникам, она может быть использована для эффективного социального инжиниринга «от имени Microsoft», что уже сейчас на Западе является серьезной проблемой.




К сожалению, не доступен сервер mySQL