Onderzoekers ontdekken 11 beveiligingsfouten in echografiemachines van GE HealthCare

Beveiligingsonderzoekers hebben bijna een dozijn beveiligingsfouten onthuld die van invloed zijn op de GE HealthCare Vivid Ultrasound-productfamilie en die door kwaadwillende actoren kunnen worden uitgebuit om met patiëntgegevens te knoeien en onder bepaalde omstandigheden zelfs ransomware te installeren.

“De gevolgen die deze fouten mogelijk maken zijn talrijk: van het implanteren van ransomware op het echoapparaat tot de toegang en manipulatie van patiëntgegevens die zijn opgeslagen op de kwetsbare apparaten”, aldus Nozomi Networks, leverancier van operationele technologie (OT) in een technisch rapport.

De beveiligingsproblemen hebben gevolgen voor het Vivid T9-echografiesysteem en de vooraf geïnstalleerde Common Service Desktop-webapplicatie, die zichtbaar is op de localhost-interface van het apparaat en gebruikers in staat stelt administratieve acties uit te voeren.

Ze hebben ook invloed op een ander softwareprogramma, EchoPAC genaamd, dat op het Windows-werkstation van een arts is geïnstalleerd om toegang te krijgen tot multidimensionale echo-, vasculaire en abdominale echografiebeelden.

Dat gezegd hebbende, vereist een succesvolle exploitatie van de gebreken dat een bedreigingsactor eerst toegang krijgt tot de ziekenhuisomgeving en fysiek interactie heeft met het apparaat, waarna deze kunnen worden uitgebuit om willekeurige code-uitvoering met beheerdersrechten te bewerkstelligen.

In een hypothetisch aanvalsscenario zou een kwaadwillende actor de Vivid T9-systemen kunnen buitensluiten door een ransomware-lading te implanteren en zelfs patiëntgegevens te exfiltreren of ermee te knoeien.

De ernstigste kwetsbaarheid is CVE-2024-27107 (CVSS-score: 9,6), die betrekking heeft op het gebruik van hardgecodeerde inloggegevens. Andere geïdentificeerde tekortkomingen hebben betrekking op commando-injectie (CVE-2024-1628), uitvoering met onnodige privileges (CVE-2024-27110 en CVE-2020-6977), padtraversal (CVE-2024-1630 en CVE-2024-1629), en falen van het beveiligingsmechanisme (CVE-2020-6977).

De door Nozomi Networks bedachte exploitketen combineert CVE-2020-6977 om lokale toegang tot het apparaat te krijgen en gebruikt vervolgens CVE-2024-1628 om code-uitvoering te bewerkstelligen.

“Om het proces echter te versnellen, (…) kan een aanvaller ook misbruik maken van de blootliggende USB-poort en een kwaadaardige USB-stick aansluiten die, door het toetsenbord en de muis te emuleren, automatisch alle noodzakelijke stappen uitvoert, sneller dan menselijk. ”, aldus het bedrijf.

Als alternatief kan een tegenstander toegang krijgen tot het interne netwerk van een ziekenhuis met behulp van gestolen VPN-inloggegevens die op andere manieren zijn verzameld (bijvoorbeeld phishing of datalekken), scannen op kwetsbare installaties van EchoPAC en vervolgens CVE-2024-27107 exploiteren om onbelemmerde toegang te krijgen tot de patiëntendatabase, waardoor de vertrouwelijkheid, integriteit en beschikbaarheid ervan effectief in gevaar wordt gebracht.

GE HealthCare-echografieapparaten

GE HealthCare zei in een reeks adviezen dat “bestaande maatregelen en controles” de risico's van deze tekortkomingen tot aanvaardbare niveaus terugbrengen.

“In het onwaarschijnlijke geval dat een kwaadwillende actor met fysieke toegang het apparaat onbruikbaar zou maken, zouden er duidelijke aanwijzingen zijn voor de beoogde gebruiker van het apparaat”, aldus het rapport. “De kwetsbaarheid kan alleen worden uitgebuit door iemand met directe, fysieke toegang tot het apparaat.”

De onthulling komt weken nadat ook beveiligingsfouten werden ontdekt in de Merge DICOM Toolkit voor Windows (CVE-2024-23912, CVE-2024-23913 en CVE-2024-23914) die zouden kunnen worden gebruikt om een ​​Denial-of-Service (DoS) te activeren. ) voorwaarde op de DICOM-service. De problemen zijn verholpen in versie v5.18 (PDF) van de bibliotheek.

Het volgt ook op de ontdekking van een uiterst ernstige beveiligingsfout in het Siemens SIMATIC Energy Manager (EnMPro)-product (CVE-2022-23450, CVSS-score: 10,0) dat door een aanvaller op afstand kan worden misbruikt om willekeurige code uit te voeren met SYSTEEM-rechten door het verzenden van kwaadwillig vervaardigde objecten.

“Een aanvaller die met succes misbruik maakt van dit beveiligingslek, kan op afstand code uitvoeren en volledige controle krijgen over een EnMPro-server”, zegt Claroty-beveiligingsonderzoeker Noam Moshe.

Gebruikers wordt ten zeerste aangeraden om te updaten naar versie V7.3 Update 1 of hoger, aangezien alle voorgaande versies de onveilige deserialisatiekwetsbaarheid bevatten.

Er zijn ook zwakke punten in de beveiliging ontdekt in het ThroughTek Kalay Platform dat is geïntegreerd in Internet of Things (IoT)-apparaten (van CVE-2023-6321 tot en met CVE-2023-6324) waarmee een aanvaller bevoegdheden kan escaleren, opdrachten als root kan uitvoeren en een netwerk kan opzetten. verbinding met een slachtofferapparaat.

“Wanneer ze aan elkaar zijn gekoppeld, faciliteren deze kwetsbaarheden ongeautoriseerde root-toegang vanuit het lokale netwerk, evenals de uitvoering van code op afstand om het apparaat van het slachtoffer volledig te ondermijnen”, aldus het Roemeense cyberbeveiligingsbedrijf Bitdefender. “Uitvoering van code op afstand is alleen mogelijk nadat het apparaat is onderzocht vanaf het lokale netwerk.”

De kwetsbaarheden, die in april 2024 zijn verholpen na een verantwoorde openbaarmaking in oktober 2023, blijken van invloed te zijn op babyfoons en beveiligingscamera's binnenshuis van leveranciers als Owlet, Roku en Wyze, waardoor bedreigingsactoren deze in serie kunnen schakelen om willekeurige acties uit te voeren. opdrachten op de apparaten.

“De gevolgen van deze kwetsbaarheden reiken veel verder dan het domein van theoretische exploits, omdat ze rechtstreeks van invloed zijn op de privacy en veiligheid van gebruikers die vertrouwen op apparaten die worden aangedreven door ThroughTek Kalay”, voegde het bedrijf eraan toe.

Thijs Van der Does