Kritische Fehler machen Hunderttausende von medizinischen Geräten und Geldautomaten frei Krankenschwester mit Ultraschallgerät Spezialisiertes Gesundheitswesen
Geräte, von bildgebenden Werkzeugen wie CT-Scannern bis hin zu diagnostischen
Laborgeräten, sind in Krankenhausnetzwerken oft unzureichend geschützt. Neue
Erkenntnisse über sieben Schwachstellen in einem Remote-Management-Tool für
das Internet der Dinge unterstreichen nun die vernetzten Risiken in medizinischen
Geräten und im breiteren IoT-Ökosystem.
Forscher der Sicherheitsfirma CyberMDX
im Gesundheitswesen, die letzten Monat von der IoT-Sicherheitsfirma Foreçut
übernommen wurde, fanden die sieben leicht ausnutzbaren Schwachstellen, die
zusammen als Access: 7 bezeichnet werden, im IoT-Fernzugriffstool PTC Axeda.
Die Plattform kann mit jedem eingebetteten Gerät verwendet werden, hat sich
jedoch als besonders beliebt in medizinischen Geräten erwiesen. Die Forscher
fanden auch heraus, dass einige Unternehmen es verwendet haben, um Geldautomaten,
Verkaufsautomaten, Barcode-Scansysteme und einige industrielle Fertigungsanlagen
aus der Ferne zu verwalten. Die Forscher schätzen, dass die Access:7-Schwachstellen
in Hunderttausenden von Geräten insgesamt liegen. In einer Überprüfung seiner
eigenen Kunden fand Foreçut mehr als 2.000 anfällige Systeme.
"Sie können sich vorstellen, welche
Auswirkungen ein Angreifer haben könnte, wenn er entweder Daten von medizinischen
Geräten oder anderen sensiblen Geräten exfiltrieren, möglicherweise Laborergebnisse
manipulieren, kritische Geräte nicht verfügbar machen oder sie vollständig übernehmen
kann", sagt Daniel dos Santos, Leiter der Sicherheitsforschung bei Foreçut.
Einige der Schwachstellen beziehen
sich auf Probleme mit der Verarbeitung undokumentierter und nicht authentifizierter
Befehle, die es Angreifern ermöglichen, die Plattform zu manipulieren. Andere
beziehen sich auf Standardkonfigurationsprobleme, wie hartcodierte, erratbare
Systemkennwörter, die von mehreren Axeda-Benutzern gemeinsam genutzt werden.
Drei der sieben Schwachstellen werden als kritisch eingestuft, und die anderen
vier sind Fehler mit mittlerem bis hohem Schweregrad.
Angreifer könnten die Fehler möglicherweise
ausnutzen, um Patientendaten zu erfassen, Testergebnisse oder andere medizinische
Aufzeichnungen zu ändern, Denial-of-Service-Angriffe zu starten, die Gesundheitsdienstleister
davon abhalten könnten, bei Bedarf auf Patientendaten zuzugreifen, industrielle
Steuerungssysteme zu stören oder sogar Fuß zu fassen, um Geldautomaten anzugreifen.
Schwachstellen sind in diesem Bereich
nicht unbedingt ungewöhnlich, aber diese wären für einen Angreifer besonders
einfach auszunutzen. Wenn sie ausgenutzt werden, könnte der potenzielle Schaden
der Access:7-Fehler mit dem einer kürzlichen Welle von Ransomware-Angriffen
vergleichbar sein, die alle von Hackern herrührten, die Fehler in der IT-Management-Software
einer Firma namens Kaseya ausnutzten. Die Produkte sind unterschiedlich, aber
ihre Allgegenwart schafft ähnliche Bedingungen für störende Angriffe. Und Access:7
fügt sich in ein größeres Bild von eingefleischter IoT-Unsicherheit und historischen,
ungelösten Schwachstellen ein.
Die Forscher arbeiteten an einer
koordinierten Offenlegung mit PTC, das Patches für die Fehler veröffentlicht
hat, sowie mit der US Cybersecurity and Infrastructure Security Agency, H-ISAC
und der Food and Drug Administration.
"Diese Offenlegung ist der Höhepunkt
einer Zusammenarbeit zwischen PTC, CyberMDX und CISA", sagte PTC gegenüber WIRED
in einer Erklärung. "PTC und CyberMDX haben zusammengearbeitet, um die Schwachstellen
gründlich zu untersuchen und geeignete Abhilfemaßnahmen zu implementieren. PTC
benachrichtigte dann die Kunden und leitete ihre Behebungen vor der Offenlegung
... Das Ergebnis ist ein größeres Bewusstsein für die Benutzer und die Möglichkeit,
eine potenzielle Bedrohung für ihre Systeme und Daten zu lösen."