Pesquisadores de segurança revelaram quase uma dúzia de falhas de segurança que afetam a família de produtos GE HealthCare Vivid Ultrasound e que podem ser exploradas por atores mal-intencionados para adulterar dados de pacientes e até mesmo instalar ransomware em determinadas circunstâncias.
“Os impactos possibilitados por essas falhas são múltiplos: desde a implantação de ransomware na máquina de ultrassom até o acesso e manipulação de dados de pacientes armazenados em dispositivos vulneráveis”, disse o fornecedor de segurança de tecnologia operacional (TO) Nozomi Networks em um relatório técnico.
Os problemas de segurança afetam o sistema de ultrassom Vivid T9 e seu aplicativo internet Frequent Service Desktop pré-instalado, que é exposto na interface localhost do dispositivo e permite que os usuários executem ações administrativas.
Eles também afetam outro programa de software program chamado EchoPAC, instalado na estação de trabalho Home windows de um médico para ajudá-los a acessar imagens multidimensionais de ecografia, vasculares e abdominais.
Dito isto, a exploração bem-sucedida das falhas exige que um ator de ameaça primeiro obtenha acesso ao ambiente hospitalar e interaja fisicamente com o dispositivo, após o que podem ser exploradas para obter a execução arbitrária de código com privilégios administrativos.
Em um cenário hipotético de ataque, um agente mal-intencionado poderia bloquear os sistemas Vivid T9 implantando uma carga útil de ransomware e até mesmo exfiltrando ou adulterando dados de pacientes.
A mais grave das vulnerabilidades é a CVE-2024-27107 (pontuação CVSS: 9,6), que diz respeito ao uso de credenciais codificadas. Outras deficiências identificadas dizem respeito à injeção de comando (CVE-2024-1628), execução com privilégios desnecessários (CVE-2024-27110 e CVE-2020-6977), travessia de caminho (CVE-2024-1630 e CVE-2024-1629) e falha do mecanismo de proteção (CVE-2020-6977).
A cadeia de exploração desenvolvida pela Nozomi Networks combina o CVE-2020-6977 para obter acesso native ao dispositivo e, em seguida, transforma o CVE-2024-1628 em uma arma para obter a execução do código.
“No entanto, para acelerar o processo, (…) um invasor também pode abusar da porta USB exposta e anexar um pen drive malicioso que, ao emular o teclado e o mouse, executa automaticamente todas as etapas necessárias em uma velocidade mais rápida que a humana. “, disse a empresa.
Alternativamente, um adversário poderia obter acesso à rede interna de um hospital usando credenciais VPN roubadas coletadas por outros meios (por exemplo, phishing ou vazamento de dados), verificar instalações vulneráveis do EchoPAC e, em seguida, explorar o CVE-2024-27107 para obter acesso irrestrito ao banco de dados do paciente, comprometendo efetivamente sua confidencialidade, integridade e disponibilidade.
A GE HealthCare, num conjunto de recomendações, afirmou que “as mitigações e controlos existentes” reduzem os riscos representados por estas falhas a níveis aceitáveis.
“No caso improvável de um agente malicioso com acesso físico poder inutilizar o dispositivo, haveria indicadores claros disso para o usuário pretendido do dispositivo”, observou. “A vulnerabilidade só pode ser explorada por alguém com acesso físico direto ao dispositivo.”
A divulgação ocorre semanas depois que falhas de segurança também foram descobertas no Merge DICOM Toolkit for Home windows (CVE-2024-23912, CVE-2024-23913 e CVE-2024-23914) que poderiam ser usadas para acionar uma negação de serviço (DoS ) condição no serviço DICOM. Os problemas foram resolvidos na versão v5.18 (PDF) da biblioteca.
Também segue a descoberta de uma falha de segurança de gravidade máxima no produto Siemens SIMATIC Vitality Supervisor (EnMPro) (CVE-2022-23450, pontuação CVSS: 10.0) que poderia ser explorada por um invasor remoto para executar código arbitrário com privilégios de SYSTEM por enviando objetos criados com códigos maliciosos.
“Um invasor que discover com sucesso esta vulnerabilidade pode executar código remotamente e obter controle complete sobre um servidor EnMPro”, disse o pesquisador de segurança da Claroty, Noam Moshe.
É altamente recomendável que os usuários atualizem para a versão V7.3 Atualização 1 ou posterior, pois todas as versões anteriores contêm a vulnerabilidade de desserialização insegura.
Fraquezas de segurança também foram descobertas na plataforma ThroughTek Kalay integrada em dispositivos de Web das Coisas (IoT) (de CVE-2023-6321 a CVE-2023-6324) que permite que um invasor aumente privilégios, execute comandos como root e estabeleça um conexão com um dispositivo da vítima.
“Quando encadeadas, essas vulnerabilidades facilitam o acesso root não autorizado de dentro da rede native, bem como a execução remota de código para subverter completamente o dispositivo da vítima”, disse a empresa romena de segurança cibernética Bitdefender. “A execução remota de código só é possível depois que o dispositivo for investigado na rede native.”
Descobriu-se que as vulnerabilidades, corrigidas em abril de 2024 após divulgação responsável em outubro de 2023, impactam monitores de bebês e câmeras de segurança internas de fornecedores como Owlet, Roku e Wyze, permitindo que os atores da ameaça os conectem em cadeia para executar arbitrários. comandos nos dispositivos.
“As ramificações dessas vulnerabilidades vão muito além do domínio das explorações teóricas, pois impactam diretamente na privacidade e segurança dos usuários que dependem de dispositivos equipados com ThroughTek Kalay”, acrescentou a empresa.
