El 23 de enero, la división del Departamento de Seguridad Nacional de los Estados Unidos responsable de las amenazas cibernéticas divulgó información sobre seis vulnerabilidades graves en dispositivos médicos (
noticias ,
documento fuente). Se encontraron problemas en los equipos hospitalarios de GE, incluidos los monitores médicos Carescape B450, 650 y 850. En la escala CVSSv3, cinco vulnerabilidades obtuvieron 10 puntos, la calificación más alta que indica la posibilidad de operación remota sin habilidades especiales. La divulgación de datos sobre problemas en equipos especializados ocurre con poca frecuencia y le permite evaluar el nivel de seguridad de dichos dispositivos.
En la foto de arriba, uno de los dispositivos mencionados en el mensaje es el monitor
Carescape B650 . No hay especificaciones en el sitio, e incluso la
hoja de datos no indica la plataforma de hardware y el sistema operativo utilizado. Pero la fecha en el documento (2010) indica el problema obvio de dicho equipo: es costoso, se usa durante mucho tiempo. De hecho, es una computadora independiente con una pantalla de 15 pulgadas, capaz de trabajar de forma autónoma y conectarse a una red cableada o inalámbrica para la transferencia de datos.
Dos vulnerabilidades son relevantes para este dispositivo: CVE-2020-6962 describe un problema con la validación de los datos ingresados en la interfaz web, que puede conducir a la ejecución de código arbitrario. CVE-2020-6965, al parecer, sugiere un sistema de actualización de software inseguro que le permite cargar archivos arbitrarios al monitor sin autorización.
La descripción de otras vulnerabilidades incluye claves SSH cableadas para acceso remoto en el equipo del servidor, datos cableados para acceso a través del protocolo SMB, la capacidad de transmitir de forma remota las pulsaciones de teclas sin autorización y un cifrado débil cuando se conecta a través del protocolo VNC. Las seis vulnerabilidades fueron descubiertas por CyberMDX, se describe un poco más sobre ellas en
esta publicación en el sitio web de Bleeping Computer. Afectan tanto a los sistemas basados en Linux, donde el problema se detectó en una versión desactualizada del panel de administración de Webmin, como a los dispositivos de "campo" basados en Windows XP Embedded (fue allí donde encontraron contraseñas cableadas para acceder a través de SMB). Las versiones anteriores o las configuraciones incorrectas también son responsables del acceso remoto al teclado (a través del software Multimouse y Kavoom!).
Las recomendaciones de la agencia estadounidense son obvias: aislar la red con equipos médicos, prohibir el acceso remoto a través de los protocolos SSH, VNC, SMB, restringir el acceso físico a los servidores de administración, cambiar las contraseñas predeterminadas e introducir la práctica de usar contraseñas seguras por parte del personal. El fabricante del dispositivo está trabajando para cerrar algunas de las vulnerabilidades, pero aún no se ha informado del lanzamiento de parches.
Las vulnerabilidades en los equipos médicos amenazan directamente la vida de las personas. Los ataques prácticos, cuya información recae en los medios, se limitan principalmente al cifrado de datos seguido de extorsión (
ejemplo , otro
ejemplo ). Los dispositivos especializados con una larga vida útil, actualizaciones de software irregulares y auditorías de seguridad pueden servir como punto de entrada a la red informática de la organización. Los ataques tradicionales son seguidos por manipulaciones con dispositivos informáticos que determinan, por ejemplo, la dosis de un medicamento (
ejemplo ). Afortunadamente, tales escenarios generalmente se implementan solo en el laboratorio. En cualquier caso, la infraestructura médica de TI puede clasificarse como crítica. Y a diferencia de la industria energética, los hospitales y las clínicas a menudo existen ante la falta crónica de fondos.
Que mas paso
Trend Micro
creó un centro de producción industrial realista, incluso con el sitio y el servidor de correo de una empresa inexistente. Un
informe detallado muestra los resultados del trabajo del hanipot durante seis meses. Nada particularmente interesante: ataques por troyanos de encriptación, y en un caso el ataque fue falso. Alguien cambió el nombre de un paquete de archivos con sus manos y exigió un rescate. En casos raros, hubo intentos de controlar los controladores industriales, pero no fue más allá de los experimentos (en un caso, el experimento terminó con un apagado exitoso de la máquina virtual).
Se
ha descubierto una
vulnerabilidad grave en el servicio de conferencias Cisco Webex. Si conoce el número de la llamada de conferencia, puede conectarse a él sin autorización desde un dispositivo móvil. Resuelto mediante la actualización de versiones móviles de software.
Kaspersky Lab
examinó el troyano Shlayer dirigido a computadoras con macOS. Sí, los atacantes aún ofrecen actualizar Flash Player. Pero se utilizan nuevos métodos para difundir el troyano además de los banners tradicionales
en sitios con torrentes . Mencionó los intentos de insertar enlaces maliciosos en Wikipedia y descripciones de video en YouTube.
Se descubrió una
vulnerabilidad de omisión de autorización en la interfaz web de Cisco Firepower Management Center, que se utiliza para administrar dispositivos de red.
Safari
descubrió una protección de privacidad inadecuada para los usuarios en el navegador. La información de los medios, un informe técnico de investigadores (de Google) aún no se ha publicado.
Nuevas filtraciones de datos: Microsoft
mantuvo abierta una base de datos de soporte técnico con información durante 14 años durante casi un mes. Si la base de datos llegó a los atacantes, puede usarse para una ingeniería social efectiva "en nombre de Microsoft", que ya es un problema grave en Occidente.