Le 23 janvier, la division du département américain de la Sécurité intérieure responsable des cybermenaces a publié des informations sur six vulnérabilités graves des dispositifs médicaux (
actualités ,
document source). Des problèmes ont été décelés dans l'équipement hospitalier de GE, notamment les moniteurs médicaux Carescape B450, 650 et 850. Sur l'échelle CVSSv3, cinq vulnérabilités ont obtenu 10 points - la note la plus élevée indiquant la possibilité d'une opération à distance sans compétences particulières. La divulgation de données sur les problèmes dans les équipements spécialisés se produit rarement et vous permet d'évaluer le niveau de sécurité de ces appareils.
Sur la photo ci-dessus, l'un des appareils mentionnés dans le message est le moniteur
Carescape B650 . Il n'y a pas de spécifications sur le site, et même la
fiche technique n'indique pas la plate-forme matérielle et le système d'exploitation utilisés. Mais la date du document (2010) indique le problème évident d'un tel équipement: il est cher, il est utilisé depuis longtemps. En fait, c'est un ordinateur indépendant avec un écran de 15 pouces, capable de travailler de manière autonome et de se connecter à un réseau filaire ou sans fil pour le transfert de données.
Deux vulnérabilités sont pertinentes pour cet appareil: CVE-2020-6962 décrit un problème de validation des données entrées dans l'interface Web, ce qui peut conduire à l'exécution de code arbitraire. CVE-2020-6965, apparemment, fait allusion à un système de mise à jour logicielle non sécurisé qui vous permet de télécharger des fichiers arbitraires sur le moniteur sans autorisation.
La description des autres vulnérabilités comprend des clés SSH câblées pour l'accès à distance dans l'équipement serveur, des données câblées pour l'accès via le protocole SMB, la possibilité de transmettre à distance des frappes sans autorisation et un cryptage faible lors de la connexion via le protocole VNC. Les six vulnérabilités ont été découvertes par CyberMDX, un peu plus à leur sujet est décrit dans
cette publication sur le site Web de Bleeping Computer. Ils affectent à la fois les systèmes basés sur Linux, où le problème a été détecté dans une version obsolète du panneau d'administration Webmin, et les appareils «terrain» basés sur Windows XP Embedded (c'est là qu'ils ont trouvé des mots de passe câblés pour l'accès via SMB). Les versions plus anciennes ou les configurations incorrectes sont également responsables de l'accès au clavier à distance (via Multimouse et Kavoom! Software).
Les recommandations de l'agence américaine sont évidentes: isoler le réseau avec du matériel médical, interdire l'accès à distance via les protocoles SSH, VNC, SMB, restreindre l'accès physique aux serveurs de gestion, changer les mots de passe par défaut et introduire la pratique de l'utilisation de mots de passe sécurisés par le personnel. Le fabricant de l'appareil s'efforce de supprimer certaines vulnérabilités, mais la publication de correctifs n'a pas encore été signalée.
Les vulnérabilités de l'équipement médical menacent directement la vie des gens. Les attaques pratiques, dont les informations tombent dans les médias, se limitent principalement au chiffrement des données suivi de l'extorsion (
exemple , un autre
exemple ). Des appareils spécialisés avec une longue durée de vie, des mises à jour logicielles irrégulières et des audits de sécurité peuvent servir de point d'entrée dans le réseau informatique de l'organisation. Les attaques traditionnelles sont suivies de manipulations avec des appareils informatiques qui déterminent, par exemple, la dose d'un médicament (
exemple ). Heureusement, de tels scénarios ne sont généralement mis en œuvre qu'en laboratoire. Dans tous les cas, l'infrastructure informatique médicale peut être classée comme critique. Et contrairement à l'industrie de l'énergie, les hôpitaux et les cliniques existent le plus souvent face à un manque chronique de financement.
Que s'est-il passé d'autre
Trend Micro a
créé un hanipot de production industrielle réaliste, même avec le site et le serveur de messagerie d'une entreprise inexistante. Un
rapport détaillé montre les résultats des travaux du hanipot pendant six mois. Rien de particulièrement intéressant: des attaques par des chevaux de Troie de chiffrement, et dans un cas l'attaque était fausse. Quelqu'un a renommé un pack de fichiers avec leurs mains et a demandé une rançon. Dans de rares cas, il y a eu des tentatives de contrôle des contrôleurs industriels, mais cela n'a pas dépassé les expériences (dans un cas, l'expérience s'est terminée par un arrêt réussi de la machine virtuelle).
Une
vulnérabilité grave
a été découverte dans le service de conférence Cisco Webex. Si vous connaissez le numéro de la conférence téléphonique, vous pouvez vous y connecter sans autorisation à partir d'un appareil mobile. Résolu par la mise à jour des versions mobiles du logiciel.
Kaspersky Lab a
examiné le cheval de Troie Shlayer destiné aux ordinateurs exécutant macOS. Oui, les attaquants proposent toujours de mettre à jour Flash Player. Mais de nouvelles méthodes de propagation du cheval de Troie sont utilisées en plus des bannières traditionnelles
sur les sites avec des torrents . Mentionné les tentatives d'insertion de liens malveillants dans Wikipedia et les descriptions de vidéos sur YouTube.
Une
vulnérabilité de contournement d'autorisation a
été découverte dans l'interface Web de Cisco Firepower Management Center, qui est utilisée pour gérer les périphériques réseau.
Safari a
découvert une protection inadéquate de la confidentialité des utilisateurs dans le navigateur. Des informations des médias, un rapport technique des chercheurs (de Google) n'a pas encore été publié.
Nouvelles fuites de données: Microsoft a
maintenu ouverte une base de données de support technique contenant des informations pendant 14 ans pendant près d'un mois. Si la base de données est parvenue aux attaquants, elle peut être utilisée pour une ingénierie sociale efficace "au nom de Microsoft", ce qui est déjà un grave problème en Occident.