أسبوع الأمن 05: نقاط الضعف الحرجة للأجهزة الطبية

في 23 كانون الثاني (يناير) ، نشر قسم الأمن الداخلي التابع لوزارة الأمن الداخلي الأمريكية معلومات عن ست نقاط ضعف خطيرة في الأجهزة الطبية ( أخبار ، وثيقة مصدر). تم العثور على مشاكل في معدات مستشفى GE ، بما في ذلك شاشة Carescape B450 و 650 و 850. على مقياس CVSSv3 ، سجلت خمس نقاط ضعف 10 نقاط - وهو أعلى تصنيف يشير إلى إمكانية التشغيل عن بعد دون مهارات خاصة. يحدث الكشف عن البيانات المتعلقة بالمشاكل في المعدات المتخصصة بشكل متكرر ويسمح لك بتقييم مستوى أمان هذه الأجهزة.



في الصورة أعلاه ، أحد الأجهزة المذكورة في الرسالة هو شاشة Carescape B650 . لا توجد مواصفات على الموقع ، وحتى ورقة البيانات لا تشير إلى النظام الأساسي للأجهزة ونظام التشغيل المستخدم. لكن التاريخ الوارد في الوثيقة (2010) يشير إلى المشكلة الواضحة لمثل هذه المعدات: إنها مكلفة ، ويتم استخدامها لفترة طويلة. في الواقع ، إنه جهاز كمبيوتر مستقل بشاشة عرض 15 بوصة ، قادر على العمل بشكل مستقل والاتصال بشبكة سلكية أو لاسلكية لنقل البيانات.

هناك ثغرتان مهمتان بالنسبة لهذا الجهاز: يصف CVE-2020-6962 مشكلة في التحقق من صحة البيانات المدخلة في واجهة الويب ، مما قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية. يبدو أن CVE-2020-6965 يلمح إلى نظام تحديث البرامج غير الآمن الذي يسمح لك بتحميل الملفات التعسفية على الشاشة دون إذن.

يتضمن وصف مواطن الضعف الأخرى مفاتيح SSH المدمجة للوصول عن بُعد في أجهزة الخادم ، والبيانات المدمجة للوصول عبر بروتوكول SMB ، والقدرة على إرسال ضغطات المفاتيح عن بُعد دون إذن ، والتشفير الضعيف عند الاتصال عبر بروتوكول VNC. اكتشف CyberMDX نقاط الضعف الستة جميعها ، ويرد وصف أكثر قليلاً عنها في هذا المنشور على موقع Bleeping Computer. إنها تؤثر على كلا النظامين المرتكزين على نظام Linux ، حيث تم اكتشاف المشكلة في إصدار قديم من لوحة إدارة Webmin ، وعلى الأجهزة "الميدانية" القائمة على Windows XP Embedded (لقد عثروا على كلمات مرور سلكية للوصول إليها عبر SMB). الإصدارات الأقدم أو التكوينات غير الصحيحة مسؤولة أيضًا عن الوصول إلى لوحة المفاتيح عن بعد (عبر برامج Multimouse و Kavoom!).



توصيات الوكالة الأمريكية واضحة: عزل الشبكة بالمعدات الطبية ، وحظر الوصول عن بُعد عبر بروتوكولات SSH ، و VNC ، و SMB ، وتقييد الوصول الفعلي إلى خوادم الإدارة ، وتغيير كلمات المرور الافتراضية ، وإدخال ممارسة استخدام كلمات مرور آمنة من قبل الموظفين. تعمل الشركة المُصنّعة للجهاز على إغلاق بعض نقاط الضعف ، ولكن لم يتم الإبلاغ عن إصدار تصحيحات.

نقاط الضعف في المعدات الطبية تهدد مباشرة حياة الناس. الهجمات العملية ، المعلومات التي تقع في الوسائط ، تقتصر بشكل أساسي على تشفير البيانات متبوعة بالابتزاز ( مثال ، مثال آخر). يمكن للأجهزة المتخصصة ذات العمر الطويل وتحديثات البرامج غير المنتظمة وعمليات تدقيق الأمان أن تكون نقطة دخول إلى شبكة الكمبيوتر الخاصة بالمؤسسة. يتبع الهجمات التقليدية التلاعب بأجهزة الكمبيوتر التي تحدد ، على سبيل المثال ، جرعة الدواء (على سبيل المثال ). لحسن الحظ ، عادة ما يتم تنفيذ هذه السيناريوهات فقط في المختبر. في أي حال ، قد يتم تصنيف البنية التحتية لتكنولوجيا المعلومات الطبية على أنها مهمة. وعلى عكس صناعة الطاقة ، توجد المستشفيات والعيادات غالبًا في مواجهة نقص مزمن في التمويل.

ماذا حدث

قامت Trend Micro بإنشاء خط إنتاج حقيقي للإنتاج الصناعي ، حتى مع الموقع وخادم البريد لشركة غير موجودة. يظهر تقرير مفصل نتائج عمل الهانبوت لمدة ستة أشهر. لا شيء مثير للاهتمام بشكل خاص: الهجمات عن طريق حصان طروادة التشفير ، وفي حالة واحدة كان الهجوم وهمية. قام شخص ما بإعادة تسمية حزمة من الملفات بأيديهم وطالب بفدية. في حالات نادرة ، كانت هناك محاولات للسيطرة على وحدات التحكم الصناعية ، لكنها لم تتجاوز التجارب (في حالة واحدة ، انتهت التجربة بإغلاق ناجح للجهاز الظاهري).

تم اكتشاف ثغرة أمنية خطيرة في خدمة مؤتمرات Cisco Webex. إذا كنت تعرف رقم مكالمة المؤتمر ، فيمكنك الاتصال به دون إذن من جهاز محمول. تم حلها عن طريق تحديث إصدارات البرامج المحمولة.



فحصت شركة Kaspersky Lab لعبة Shlayer Trojan التي تستهدف أجهزة الكمبيوتر التي تعمل بنظام macOS. نعم ، لا يزال المهاجمون يعرضون ترقية Flash Player. ولكن يتم استخدام طرق جديدة لنشر حصان طروادة بالإضافة إلى لافتات تقليدية على المواقع مع السيول . المحاولات المذكورة لإدراج روابط ضارة في ويكيبيديا وأوصاف الفيديو على يوتيوب.

تم اكتشاف مشكلة عدم حصانة تجاوز التخويل في واجهة الويب Cisco Firepower Management Center ، والتي تُستخدم لإدارة أجهزة الشبكة.

اكتشف Safari حماية خصوصية غير كافية للمستخدمين في المتصفح. لم يتم نشر معلومات من وسائل الإعلام ، وهو تقرير تقني للباحثين (من Google).

تسرب بيانات جديد: أبقت Microsoft على فتح قاعدة بيانات الدعم الفني بمعلومات لمدة 14 عامًا لمدة شهر تقريبًا. إذا جاءت قاعدة البيانات إلى المهاجمين ، فيمكن استخدامها للهندسة الاجتماعية الفعالة "نيابة عن Microsoft" ، والتي تمثل بالفعل مشكلة خطيرة في الغرب.