Güvenlik araştırmacıları, GE HealthCare Vivid Ultrasound ürün ailesini etkileyen ve kötü niyetli kişiler tarafından hasta verilerini tahrif etmek ve hatta belirli koşullar altında fidye yazılımı yüklemek için kullanılabilecek neredeyse bir düzine güvenlik açığını ortaya çıkardı.
Operasyonel teknoloji (OT) güvenlik sağlayıcısı Nozomi Networks, “Bu kusurların sağladığı etkiler çok çeşitlidir: ultrason makinesine fidye yazılımı yerleştirilmesinden, savunmasız cihazlarda depolanan hasta verilerine erişime ve bunların manipülasyonuna kadar.” söz konusu teknik bir raporda.
Güvenlik sorunları, Vivid T9 ultrason sistemini ve cihazın localhost arayüzünde açığa çıkan ve kullanıcıların yönetimsel eylemler gerçekleştirmesine olanak tanıyan önceden yüklenmiş Common Service Desktop web uygulamasını etkiliyor.
Ayrıca, çok boyutlu eko, vasküler ve abdominal ultrason görüntülerine erişmelerine yardımcı olmak için doktorun Windows iş istasyonuna yüklenen EchoPAC adlı başka bir yazılım programını da etkiliyorlar.
Bununla birlikte, kusurların başarılı bir şekilde kullanılması, bir tehdit aktörünün öncelikle hastane ortamına erişmesini ve cihazla fiziksel olarak etkileşimde bulunmasını gerektirir; daha sonra bu kusurlardan, idari ayrıcalıklarla keyfi kod yürütme elde etmek için yararlanılabilir.
Varsayımsal bir saldırı senaryosunda, kötü niyetli bir aktör, fidye yazılımı yükü yerleştirerek Vivid T9 sistemlerini kilitleyebilir ve hatta hasta verilerine sızabilir veya bunları değiştirebilir.
Güvenlik açıklarının en ciddi olanı, sabit kodlanmış kimlik bilgilerinin kullanımını ilgilendiren CVE-2024-27107’dir (CVSS puanı: 9,6). Tanımlanan diğer eksiklikler komut ekleme (CVE-2024-1628), gereksiz ayrıcalıklarla yürütme (CVE-2024-27110 ve CVE-2020-6977), yol geçişi (CVE-2024-1630 ve CVE-2024-1629) ve koruma mekanizması arızası (CVE-2020-6977).
Nozomi Networks tarafından tasarlanan istismar zinciri, cihaza yerel erişim sağlamak için CVE-2020-6977’yi birleştiriyor ve ardından kod yürütmeyi sağlamak için CVE-2024-1628’i silah haline getiriyor.
“Ancak süreci hızlandırmak için […] Şirket, bir saldırganın açıktaki USB bağlantı noktasını kötüye kullanabileceğini ve klavye ve fareyi taklit ederek gerekli tüm adımları otomatik olarak insan hızından daha hızlı gerçekleştiren kötü amaçlı bir flash sürücü takabileceğini söyledi.
Alternatif olarak, bir saldırgan, başka yollarla (ör. kimlik avı veya veri sızıntısı) toplanan çalıntı VPN kimlik bilgilerini kullanarak bir hastanenin dahili ağına erişim elde edebilir, EchoPAC’in savunmasız kurulumlarını tarayabilir ve ardından CVE-2024-27107’den yararlanarak CVE-2024-27107’yi istismar edebilir. hastanın veri tabanının gizliliğini, bütünlüğünü ve kullanılabilirliğini etkili bir şekilde tehlikeye atıyor.
GE HealthCare, bir dizi tavsiyede “mevcut hafifletme ve kontrollerin” bu kusurların oluşturduğu riskleri kabul edilebilir seviyelere düşürdüğünü söyledi.
“Fiziksel erişime sahip kötü niyetli bir aktörün cihazı kullanılamaz hale getirmesi ihtimaline karşı, cihazın hedef kullanıcısı için bunun açık göstergeleri olacaktır.” kayıt edilmiş. “Güvenlik açığı yalnızca cihaza doğrudan fiziksel erişimi olan biri tarafından kullanılabilir.”
Açıklama, güvenlik kusurlarının da ortaya çıkmasından haftalar sonra geldi açıkta Windows için Birleştirme DICOM Araç Takımı’nda (CVE-2024-23912, CVE-2024-23913 ve CVE-2024-23914), DICOM hizmetinde hizmet reddi (DoS) durumunu tetiklemek için kullanılabilir. Sorunlar şurada ele alındı sürüm v5.18 [PDF] kütüphanenin.
Bu aynı zamanda Siemens SIMATIC Energy Manager (EnMPro) ürününde (CVE-2022-23450, CVSS puanı: 10.0) uzaktaki bir saldırganın SİSTEM ayrıcalıklarıyla rastgele kod yürütmek için kullanabileceği maksimum önemde bir güvenlik açığının keşfinin ardından geldi. kötü niyetli olarak hazırlanmış nesneler göndermek.
Claroty güvenlik araştırmacısı Noam Moshe, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, uzaktan kod yürütebilir ve EnMPro sunucusu üzerinde tam kontrol elde edebilir” dedi. söz konusu.
Kullanıcıların güncelleme yapması önemle tavsiye edilir sürüm V7.3 Güncelleme 1 veya daha sonraki sürümler, güvenli olmayan seri durumdan çıkarma güvenlik açığını içerdiğinden önceki tüm sürümler.
Güvenlik açıkları da ortaya çıktı ThroughTek Kalay Platformu Nesnelerin İnterneti (IoT) cihazları (CVE-2023-6321’den CVE-2023-6324’e kadar) ile entegre olup, bir saldırganın ayrıcalıkları yükseltmesine, komutları root olarak yürütmesine ve kurban cihazıyla bağlantı kurmasına olanak tanır.
Rumen siber güvenlik şirketi Bitdefender, “Bu güvenlik açıkları bir araya getirildiğinde, yerel ağ içinden yetkisiz root erişiminin yanı sıra kurbanın cihazını tamamen çökertmek için uzaktan kod yürütülmesini de kolaylaştırıyor.” söz konusu. “Uzaktan kod yürütme yalnızca aygıt yerel ağdan incelendikten sonra mümkündür.”
Ekim 2023’teki sorumlu açıklamanın ardından Nisan 2024 itibarıyla yamalanan güvenlik açıklarının, Owlet, Roku ve Wyze gibi satıcıların bebek monitörlerini ve iç mekan güvenlik kameralarını etkilediği ve tehdit aktörlerinin keyfi uygulamalar yapmak için bunları zincirleme bağlamasına olanak tanıdığı ortaya çıktı. Cihazlardaki komutlar.
Şirket, “Bu güvenlik açıklarının sonuçları, teorik istismarların çok ötesine uzanıyor; çünkü bunlar, ThroughTek Kalay tarafından desteklenen cihazlara güvenen kullanıcıların gizliliğini ve güvenliğini doğrudan etkiliyor” dedi.