Istraživači sigurnosti su otkrili gotovo desetine sigurnosnih propusta koji utiču na familiju proizvoda GE HealthCare Vivid Ultrasound, a koje bi zlonamjerni hakeri mogli iskoristiti za manipuliranje podacima o pacijentima, pa čak i instaliranje ransomware-a pod određenim okolnostima.
„Uticaji koje omogućavaju ovi nedostaci su višestruki: od implantacije ransomware-a na ultrazvučnu mašinu do pristupa i manipulacije podacima o pacijentima pohranjenim na ranjivim uređajima“, rekao je dobavljač operativne tehnologije (OT) Nozomi Networks u tehničkom izvještaju.
Sigurnosni problemi utiču na Vivid T9 ultrazvučni sistem i njegovu unaprijed instaliranu web aplikaciju Common Service Desktop, koja je izložena na localhost interfejsu uređaja i omogućava korisnicima da obavljaju administrativne radnje.
Oni takođe utiču na drugi softverski program pod nazivom EchoPAC koji je instaliran na Windows radnoj stanici doktora kako bi im pomogao da pristupe višedimenzionalnim eho, vaskularnim i abdominalnim ultrazvučnim slikama.
Uzimajući to u obzir, uspješno iskorištavanje nedostataka zahtijeva da hakere prvo dobije pristup bolničkom okruženju i fizički stupi u interakciju s uređajem, nakon čega se može iskoristiti za postizanje proizvoljnog izvršavanja koda uz administrativne privilegije.
U hipotetičkom scenariju napada, zlonamjerni haker mogao bi zaključati Vivid T9 sisteme implantacijom ransomwarea, pa čak i eksfiltrirati ili mijenjati podatke o pacijentima.
Najozbiljnija ranjivost je CVE-2024-27107 (CVSS rezultat: 9,6), koja se tiče upotrebe tvrdo kodiranih akreditiva. Ostali identifikovani nedostaci odnose se na ubacivanje komandi (CVE-2024-1628), izvršavanje sa nepotrebnim privilegijama (CVE-2024-27110 i CVE-2020-6977), prelazak putanje (CVE-2024-1630 i CVE-2024-1629), kvar zaštitnog mehanizma (CVE-2020-6977).
Lanac eksploatacije koji je osmislio Nozomi Networks kombinuje CVE-2020-6977 kako bi dobio lokalni pristup uređaju, a zatim naoružavao CVE-2024-1628 da bi postigao izvršenje koda.
“Međutim, da bi ubrzao proces, […] napadač može takođe zloupotrijebiti izloženi USB port i priključiti zlonamjerni fleš disk koji, emulirajući tastaturu i miš, automatski izvodi sve potrebne korake brzinom bržom od ljudske “, saopštila je kompanija.
Alternativno, protivnik bi mogao dobiti pristup internoj mreži bolnice koristeći ukradene VPN vjerodajnice prikupljene na druge načine (npr. phishing ili curenje podataka), skenirati ranjive instalacije EchoPAC-a, a zatim iskoristiti CVE-2024-27107 kako bi dobio nesmetan pristup baze podataka pacijenata, efektivno ugrožavajući njenu povjerljivost, integritet i dostupnost.
GE HealthCare je u nizu savjeta rekao da “postojeća ublažavanja i kontrole” smanjuju rizike koje predstavljaju ove mane na prihvatljive nivoe.
“U malo vjerovatnom slučaju da bi zlonamjerni haker sa fizičkim pristupom mogao učiniti uređaj neupotrebljivim, postojali bi jasni pokazatelji za to predviđenom korisniku uređaja”, navodi se . “Ranjivost može iskoristiti samo neko s direktnim, fizičkim pristupom uređaju.”
Otkrivanje dolazi nekoliko sedmica nakon što su otkriveni i sigurnosni propusti u Merge DICOM Toolkit-u za Windows (CVE-2024-23912, CVE-2024-23913 i CVE-2024-23914) koji bi se mogli koristiti za pokretanje uskraćivanja usluge (DoS ) stanje na DICOM servisu. Problemi su riješeni u verziji v5.18 [PDF] biblioteke.
Takođe prati otkrivanje sigurnosne greške maksimalne ozbiljnosti u Siemens SIMATIC Energy Manager (EnMPro) proizvodu (CVE-2022-23450, CVSS rezultat: 10.0) koju bi udaljeni napadač mogao iskoristiti za izvršavanje proizvoljnog koda sa SYSTEM privilegijama od strane slanje zlonamjerno izrađenih objekata.
“Napadač koji uspješno iskoristi ovu ranjivost mogao bi daljinski izvršiti kod i dobiti potpunu kontrolu nad EnMPro serverom”, rekao je Claroty istraživač sigurnosti Noam Moshe .
Korisnicima se toplo preporučuje da ažuriraju na verziju V7.3 Update 1 ili noviju jer sve verzije koje su prethodile sadrže nesigurnu ranjivost deserializacije.
Sigurnosne slabosti su također otkrivene u ThroughTek Kalay platformi integriranoj u uređaje Interneta stvari (IoT) (od CVE-2023-6321 do CVE-2023-6324) koja omogućava napadaču da eskalira privilegije, izvrši komande kao root i uspostavi vezu sa uređajem žrtve.
“Kada su povezane zajedno, ove ranjivosti olakšavaju neovlašteni pristup root-u unutar lokalne mreže, kao i daljinsko izvršavanje koda kako bi se u potpunosti uništio uređaj žrtve”, rekla je rumunska kompanija za cyber sigurnost Bitdefender . “Daljinsko izvršavanje koda moguće je samo nakon što se uređaj ispita iz lokalne mreže.”
Utvrđeno je da ranjivosti, zakrpljene od aprila 2024. nakon odgovornog otkrivanja u oktobru 2023., utiču na monitore za bebe i unutrašnje sigurnosne kamere dobavljača poput Owleta, Rokua i Wyzea, dozvoljavajući akterima prijetnji da ih povežu kako bi izvršili proizvoljno komande na uređajima.
“Posljedice ovih ranjivosti sežu daleko izvan područja teorijskih eksploatacija, jer direktno utiču na privatnost i sigurnost korisnika koji se oslanjaju na uređaje koje pokreće ThroughTek Kalay”, dodala je kompanija.
Izvor:The Hacker News
