Kritiska sårbarheter i miljontals anslutna enheter som används i sjukhusnätverk kan tillåta angripare att störa medicinsk utrustning och patientmonitorer, såväl som Internet of Things-enheter som styr system och utrustning i hela anläggningar, såsom belysning och ventilationssystem.
De sårbara TCP/IP-stackarna – kommunikationsprotokoll som vanligtvis används i anslutna enheter – används också i andra industrier, inklusive industrisektorn och fordonsindustrin.
De 13 nyligen avslöjade sårbarheterna i Nucleus Net TCP/IP-stackar har beskrivits av cybersäkerhetsforskare på Forescout och Medigate. Med namnet Nucleus:13 representerar resultaten den sista delen av Project Memoria, ett initiativ som undersöker sårbarheter i TCP/IP-stackar som används i anslutna enheter och hur man kan mildra dem.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Sårbarheterna kan finnas i miljontals enheter baserade på Nucleus TCP/IP-stackar och kan tillåta angripare att engagera sig i fjärrkörning av kod, överbelastningsattacker och till och med läcka data – även om forskare inte kan säga säkert om de har utnyttjats aktivt av cyberbrottslingar.
Nu ägs Nucleus TCP/IP-stacken ursprungligen 1993 och används fortfarande flitigt i kritiska säkerhetsanordningar, särskilt på sjukhus och sjukvårdsindustrin där de används i anestesimaskiner, patientmonitorer och andra enheter , samt för byggnadsautomationssystem som styr belysning och ventilation.
Av de tre kritiska sårbarheter som identifierats av forskare utgör CVE-2021-31886 det största hotet, med ett Common Vulnerability Scoring System (CVSS)-poäng på 10 av 10. Det är en sårbarhet i (File Transfer Protocol) FTP-servrar som inte gör det korrekt validera längden på användarkommandon, vilket leder till stackbaserade buffertspill som kan missbrukas för överbelastning och fjärrkörning av kod.
De återstående två kritiska sårbarheterna har båda ett CVSS-poäng på 9,9. CVE-2021-31887 är en sårbarhet i FTP-servrar som inte korrekt validerar längden på PWD- eller XPWD FTP-serverkommandon, medan CVE-2021-31888 är en sårbarhet som uppstår när FTP-servern inte korrekt validerar längden på MKD eller XMKD FTP-kommandon. Båda kan resultera i stackbaserade buffertspill, vilket gör att angripare kan påbörja överbelastningsattacker eller fjärrstarta kod.
Eftersom stackarna är så vanliga är de lätta att identifiera och rikta in sig på. Det är också möjligt att hitta några av de anslutna enheterna på IoT-sökmotorn Shodan – och om de är offentligt vända mot internet är det möjligt att starta fjärrattacker. Det är därför forskare bestämde sig för att undersöka dem specifikt.
“Vi hittade en del reklammaterial för stacken som nämner att det här används för medicinska tillämpningar”, säger Daniel dos Santos, forskningschef vid Forescout Research Labs, till ZDNet. “När du sedan tittar på en del av data som främjar medicinsk utrustning, nämner de användningen av stacken direkt.”
Angripare skulle behöva gå igenom ett antal steg, som beskrivs utförligt i tidningen, för att fullt ut utnyttja sårbarheterna. Men så länge de finns finns den potentialen där – tillsammans med potentialen för störningar. På sjukhus kan detta inte bara påverka maskiner som används för patientvård, system i byggnaden som larm, belysning och ventilation kan påverkas.
Organisationer rekommenderas att använda de tillgängliga säkerhetslapparna som släppts av Siemens för att för att mildra hotet.
“Alla sårbarheter som avslöjas den 9 november har åtgärdats i motsvarande senaste fixversioner av aktiva Nucleus-versionslinjer”, sa en talesperson för Siemens till ZDNet.
Forskare föreslår också att nätverk bör segmenteras för att begränsa exponeringen av enheter eller programvara som kan innehålla sårbarheter, men som inte kan korrigeras.
“Se till att du känner till ditt nätverk, så även om enheter inte är patchade och du vet att sannolikheter finns, kan du fortfarande leva med en nätverkskonfiguration som låter dig sova på natten”, sa dos Santos.
Security TV | Datahantering | CXO | Datacenter