Em 23 de janeiro, a divisão do Departamento de Segurança Interna dos EUA, responsável por ameaças cibernéticas, divulgou informações sobre seis sérias vulnerabilidades em dispositivos médicos (
notícias ,
documento fonte). Foram encontrados problemas nos equipamentos hospitalares da GE, incluindo os monitores médicos Carescape B450, 650 e 850. Na escala CVSSv3, cinco vulnerabilidades atingiram 10 pontos - a classificação mais alta que indica a possibilidade de operação remota sem habilidades especiais. A divulgação de dados sobre problemas em equipamentos especializados ocorre com pouca frequência e permite avaliar o nível de segurança desses dispositivos.
Na foto acima, um dos dispositivos mencionados na mensagem é o monitor
Carescape B650 . Não há especificações no site, e mesmo a
folha de dados não indica a plataforma de hardware e o sistema operacional usado. Mas a data no documento (2010) indica o problema óbvio de tais equipamentos: é caro, é usado por um longo tempo. Na verdade, é um computador independente com uma tela de 15 polegadas, capaz de trabalhar de forma autônoma e se conectar a uma rede com ou sem fio para transferência de dados.
Duas vulnerabilidades são relevantes para este dispositivo: CVE-2020-6962 descreve um problema com a validação dos dados inseridos na interface da web, o que pode levar à execução de código arbitrário. CVE-2020-6965, aparentemente, sugere um sistema inseguro de atualização de software que permite carregar arquivos arbitrários no monitor sem autorização.
A descrição de outras vulnerabilidades inclui chaves SSH incorporadas para acesso remoto em equipamentos de servidor, dados incorporados para acesso via protocolo SMB, capacidade de transmitir remotamente pressionamentos de teclas sem autorização e criptografia fraca ao conectar via protocolo VNC. Todas as seis vulnerabilidades foram descobertas pelo CyberMDX, um pouco mais sobre elas é descrito
nesta publicação no site da Bleeping Computer. Eles afetam os sistemas baseados em Linux, onde o problema foi detectado em uma versão desatualizada do painel de administração Webmin, e os dispositivos de "campo" baseados no Windows XP Embedded (foi lá que eles encontraram senhas com fio para acesso via SMB). Versões anteriores ou configurações incorretas também são responsáveis pelo acesso remoto ao teclado (via Multimouse e Kavoom! Software).
As recomendações da agência americana são óbvias: isolar a rede com equipamentos médicos, proibir o acesso remoto via protocolos SSH, VNC, SMB, restringir o acesso físico a servidores de gerenciamento, alterar senhas padrão e introduzir a prática de usar senhas seguras pelo pessoal. O fabricante do dispositivo está trabalhando para fechar algumas das vulnerabilidades, mas o lançamento dos patches ainda não foi relatado.
Vulnerabilidades em equipamentos médicos ameaçam diretamente a vida das pessoas. Ataques práticos, informações sobre os quais caem na mídia, são limitados principalmente à criptografia de dados seguida de extorsão (
exemplo , outro
exemplo ). Dispositivos especializados com vida longa, atualizações irregulares de software e auditorias de segurança podem servir como ponto de entrada na rede de computadores da organização. Os ataques tradicionais são seguidos de manipulações com dispositivos de computador que determinam, por exemplo, a dose de um medicamento (
exemplo ). Felizmente, esses cenários geralmente são implementados apenas em laboratório. Em qualquer caso, a infraestrutura de TI médica pode muito bem ser classificada como crítica. E, diferentemente do setor de energia, hospitais e clínicas costumam existir diante de uma falta crônica de financiamento.
O que mais aconteceu
A Trend Micro
criou um hanipot de produção industrial realista, mesmo com o site e o servidor de correio de uma empresa inexistente. Um
relatório detalhado mostra os resultados do trabalho do hanipot por seis meses. Nada de particularmente interessante: ataques de trojans de criptografia e, em um caso, o ataque foi falso. Alguém renomeou um pacote de arquivos com as mãos e exigiu um resgate. Em casos raros, houve tentativas de controlar controladores industriais, mas não foi além das experiências (em um caso, a experiência terminou com o desligamento bem-sucedido da máquina virtual).
Uma
vulnerabilidade grave foi descoberta no serviço de conferência Cisco Webex. Se você souber o número da chamada em conferência, poderá conectar-se a ele sem autorização de um dispositivo móvel. Resolvido com a atualização de versões móveis do software.
A Kaspersky Lab
examinou o Trojan Shlayer destinado a computadores executando o macOS. Sim, os invasores ainda oferecem o upgrade do Flash Player. Mas novos métodos de espalhar o Trojan são usados, além dos banners tradicionais
em sites com torrents . Tentativas mencionadas de inserir links maliciosos na Wikipedia e em descrições de vídeo no YouTube.
Uma
vulnerabilidade de desvio de autorização
foi descoberta na interface da web do Cisco Firepower Management Center, usada para gerenciar dispositivos de rede.
O Safari
descobriu uma proteção de privacidade inadequada para os usuários no navegador. Informações da mídia, um relatório técnico de pesquisadores (do Google) ainda não foi publicado.
Novos vazamentos de dados: a Microsoft
manteve aberto um banco de dados de suporte técnico com informações por 14 anos por quase um mês. Se o banco de dados chegou aos atacantes, ele pode ser usado para uma engenharia social eficaz "em nome da Microsoft", que já é um problema sério no Ocidente.