Kritiske sårbarheder i millioner af tilsluttede enheder, der bruges i hospitalsnetværk, kan gøre det muligt for angribere at forstyrre medicinsk udstyr og patientmonitorer samt Internet of Things-enheder, der styrer systemer og udstyr overalt i faciliteter, såsom lys- og ventilationssystemer.
De sårbare TCP/IP-stakke – kommunikationsprotokoller, der almindeligvis bruges i tilsluttede enheder – er også udbredt i andre industrier, herunder industrisektoren og bilindustrien.
De 13 nyligt afslørede sårbarheder i Nucleus Net TCP/IP-stakke er blevet detaljeret beskrevet af cybersikkerhedsforskere hos Forescout og Medigate. Kaldt Nucleus:13 repræsenterer resultaterne den sidste del af Project Memoria, et initiativ, der undersøger sårbarheder i TCP/IP-stakke, der bruges i tilsluttede enheder, og hvordan man afbøder dem.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Sårbarhederne kan være til stede i millioner af enheder baseret på Nucleus TCP/IP-stakke og kunne tillade angribere til at engagere sig i fjernudførelse af kode, lammelsesangreb og endda lækage data – selvom forskere ikke kan sige med sikkerhed, om de aktivt er blevet udnyttet af cyberkriminelle.
Nu ejes af Siemens, Nucleus TCP/IP-stakken blev oprindeligt udgivet i 1993 og er stadig meget brugt i kritiske sikkerhedsanordninger, især på hospitaler og sundhedsindustrien, hvor de bruges i anæstesimaskiner, patientmonitorer og andre enheder , samt til bygningsautomatiseringssystemer, der styrer lys og ventilation.
Af de tre kritiske sårbarheder identificeret af forskere, udgør CVE-2021-31886 den største trussel med en Common Vulnerability Scoring System (CVSS)-score på 10 ud af 10. Det er en sårbarhed i (File Transfer Protocol) FTP-servere, der ikke gør det korrekt valider længden af brugerkommandoer, hvilket fører til stakbaserede bufferoverløb, der kan misbruges til lammelsesangreb og fjernudførelse af kode.
De resterende to kritiske sårbarheder har begge en CVSS-score på 9,9. CVE-2021-31887 er en sårbarhed i FTP-servere, der ikke korrekt validerer længden af PWD- eller XPWD FTP-serverkommandoer, mens CVE-2021-31888 er en sårbarhed, der opstår, når FTP-serveren ikke korrekt validerer længden af MKD eller XMKD FTP-kommandoer. Begge kan resultere i stakbaserede bufferoverløb, hvilket giver angribere mulighed for at starte lammelsesangreb eller fjernstarte kode.
Fordi stakkene er så almindelige, er de nemme at identificere og målrette mod. Det er også muligt at finde nogle af de tilsluttede enheder på IoT-søgemaskinen Shodan – og hvis de er offentligt vendt mod internettet, er det muligt at iværksætte fjernangreb. Det er grunden til, at forskere besluttede at undersøge dem specifikt.
“Vi fandt noget salgsfremmende materiale til stakken, der nævner brugen af dette til medicinske applikationer,” fortalte Daniel dos Santos, forskningschef ved Forescout Research Labs, til ZDNet. “Når man så ser på nogle af de data, der promoverer medicinsk udstyr, nævner de brugen af stakken direkte.”
Angribere ville være nødt til at springe gennem en række trin, detaljeret detaljeret i papiret, for fuldt ud at udnytte sårbarhederne. Men så længe de eksisterer, er det potentiale der – sammen med potentialet for disruption. På hospitaler kan dette ikke kun påvirke maskiner, der bruges til patientbehandling, systemer i bygningen såsom alarmer, belysning og ventilation kan blive påvirket.
Organisationer anbefales at anvende de tilgængelige sikkerhedsrettelser, der er udgivet af Siemens, for at for at afbøde truslen.
“Alle sårbarheder, der bliver afsløret den 9. november, er blevet rettet i de tilsvarende seneste rettelsesudgivelser af aktive Nucleus-versionslinjer,” sagde en talsmand for Siemens til ZDNet.
Forskere foreslår også, at netværk bør segmenteres for at begrænse eksponeringen af enhver enhed eller software, der kunne indeholde sårbarheder, men som ikke kan lappes.
“Sørg for, at du kender dit netværk, så selvom enheder ikke er lappet, og du ved, at der findes sandsynligheder, kan du stadig leve med en netværkskonfiguration, der lader dig sove om natten,” sagde dos Santos.
Security TV | Datastyring | CXO | Datacentre