Güvenlik araştırmacıları, GE HealthCare Vivid Ultrasound ürün ailesini etkileyen ve kötü niyetli kişiler tarafından hasta verilerini tahrif etmek ve hatta belirli koşullar altında fidye yazılımı yüklemek için kullanılabilecek neredeyse bir düzine güvenlik açığını ortaya çıkardı.
Operasyonel teknoloji (OT) güvenlik sağlayıcısı Nozomi Networks, teknik bir raporunda şunları söyledi: “Bu kusurların sağladığı etkiler çok çeşitlidir: ultrason makinesine fidye yazılımı yerleştirilmesinden, savunmasız cihazlarda depolanan hasta verilerine erişime ve bunların manipülasyonuna kadar.”
Güvenlik sorunları, Vivid T9 ultrason sistemini ve cihazın localhost arayüzünde açığa çıkan ve kullanıcıların yönetimsel eylemler gerçekleştirmesine olanak tanıyan önceden yüklenmiş Common Service Desktop web uygulamasını etkiliyor.
Ayrıca, çok boyutlu eko, vasküler ve abdominal ultrason görüntülerine erişmelerine yardımcı olmak için doktorun Windows iş istasyonuna yüklenen EchoPAC adlı başka bir yazılım programını da etkiliyorlar.
Bununla birlikte, kusurların başarılı bir şekilde kullanılması, bir tehdit aktörünün öncelikle hastane ortamına erişmesini ve cihazla fiziksel olarak etkileşimde bulunmasını gerektirir; daha sonra bu kusurlardan, idari ayrıcalıklarla keyfi kod yürütme elde etmek için yararlanılabilir.
Varsayımsal bir saldırı senaryosunda, kötü niyetli bir aktör, fidye yazılımı yükü yerleştirerek Vivid T9 sistemlerini kilitleyebilir ve hatta hasta verilerine sızabilir veya bunları değiştirebilir.
Güvenlik açıklarının en ciddi olanı, sabit kodlanmış kimlik bilgilerinin kullanımını ilgilendiren CVE-2024-27107’dir (CVSS puanı: 9,6). Belirlenen diğer eksiklikler komut ekleme (CVE-2024-1628), gereksiz ayrıcalıklarla yürütme (CVE-2024-27110 ve CVE-2020-6977), yol geçişi (CVE-2024-1630 ve CVE-2024-1629) ve koruma mekanizması arızası (CVE-2020-6977).
Nozomi Networks tarafından tasarlanan istismar zinciri, cihaza yerel erişim sağlamak için CVE-2020-6977’yi birleştiriyor ve ardından kod yürütmeyi sağlamak için CVE-2024-1628’i silah haline getiriyor.
“Ancak süreci hızlandırmak için […] Şirket, bir saldırganın açıktaki USB bağlantı noktasını kötüye kullanabileceğini ve klavye ve fareyi taklit ederek gerekli tüm adımları otomatik olarak insan hızından daha hızlı gerçekleştiren kötü amaçlı bir flash sürücü takabileceğini söyledi.
Alternatif olarak, bir saldırgan, başka yollarla (ör. kimlik avı veya veri sızıntısı) toplanan çalıntı VPN kimlik bilgilerini kullanarak bir hastanenin dahili ağına erişim elde edebilir, EchoPAC’in savunmasız kurulumlarını tarayabilir ve ardından CVE-2024-27107’den yararlanarak CVE-2024-27107’yi istismar edebilir. hastanın veritabanının gizliliğini, bütünlüğünü ve kullanılabilirliğini etkili bir şekilde tehlikeye atıyor.
GE HealthCare, bir dizi tavsiyede “mevcut hafifletme ve kontrollerin” bu kusurların oluşturduğu riskleri kabul edilebilir seviyelere düşürdüğünü söyledi.
“Fiziksel erişime sahip kötü niyetli bir aktörün cihazı kullanılamaz hale getirmesi pek olası olmasa da, cihazın hedeflenen kullanıcısı için bunun açık göstergeleri olacaktır.” “Güvenlik açığı yalnızca cihaza doğrudan fiziksel erişimi olan biri tarafından kullanılabilir.”
Açıklama, Windows için DICOM Birleştirme Araç Takımı’nda (CVE-2024-23912, CVE-2024-23913 ve CVE-2024-23914) hizmet reddini (DoS) tetiklemek için kullanılabilecek güvenlik kusurlarının da ortaya çıkarılmasından haftalar sonra geldi. ) DICOM hizmetindeki koşul. Sorunlar v5.18 sürümünde giderildi [PDF] kütüphanenin.
Bu aynı zamanda Siemens SIMATIC Energy Manager (EnMPro) ürününde (CVE-2022-23450, CVSS puanı: 10.0) uzaktaki bir saldırganın SİSTEM ayrıcalıklarıyla rastgele kod yürütmek için kullanabileceği maksimum önemde bir güvenlik açığının keşfinin ardından geldi. kötü niyetli olarak hazırlanmış nesneler göndermek.
Claroty güvenlik araştırmacısı Noam Moshe, “Bu güvenlik açığından başarıyla yararlanan bir saldırgan, uzaktan kod çalıştırabilir ve EnMPro sunucusu üzerinde tam kontrol elde edebilir” dedi.
Önceki tüm sürümler güvenli olmayan seri durumdan çıkarma güvenlik açığını içerdiğinden, kullanıcıların V7.3 Güncelleme 1 veya sonraki bir sürüme güncelleme yapmaları önemle tavsiye edilir.
Ayrıca, Nesnelerin İnterneti (IoT) cihazlarına (CVE-2023-6321’den CVE-2023-6324’e kadar) entegre edilen ThroughTek Kalay Platformunda, bir saldırganın ayrıcalıkları yükseltmesine, komutları root olarak yürütmesine ve bir ağ oluşturmasına olanak tanıyan güvenlik zayıflıkları da ortaya çıkarıldı. Kurban cihazıyla bağlantı.
Rumen siber güvenlik şirketi Bitdefender, “Birbirine zincirlendiğinde, bu güvenlik açıkları yerel ağ içinden yetkisiz root erişiminin yanı sıra kurbanın cihazını tamamen çökertmek için uzaktan kod yürütülmesini de kolaylaştırıyor.” dedi. “Uzaktan kod yürütme yalnızca aygıt yerel ağdan incelendikten sonra mümkündür.”
Ekim 2023’teki sorumlu açıklamanın ardından Nisan 2024 itibarıyla yamalanan güvenlik açıklarının, Owlet, Roku ve Wyze gibi satıcıların bebek monitörlerini ve iç mekan güvenlik kameralarını etkilediği ve tehdit aktörlerinin keyfi uygulamalar yapmak için bunları zincirleme bağlamasına olanak tanıdığı ortaya çıktı. Cihazlardaki komutlar.
Şirket, “Bu güvenlik açıklarının sonuçları, teorik istismarların çok ötesine uzanıyor; çünkü bunlar, ThroughTek Kalay tarafından desteklenen cihazlara güvenen kullanıcıların gizliliğini ve güvenliğini doğrudan etkiliyor” dedi.