Palo Alto : Plus de 100 000 pompes à perfusion vulnérables à 2 vulnérabilités

Lors d’un examen de plus de 200 000 pompes à perfusion sur les réseaux de plusieurs organisations de soins de santé, les chercheurs en sécurité de Palo Alto Networks ont découvert que plus de 52 % étaient sensibles à deux vulnérabilités connues qui ont été divulguées en 2019 – l’une avec un score de gravité « critique » et la autre avec un score de gravité “élevé”.

Unité 42 du réseau Palo Alto a publié un rapport examinant 200 000 pompes à perfusion sur les réseaux d’hôpitaux et de cliniques qui utilisent leur programme de sécurité pour les appareils IoT.

“Un pourcentage alarmant de 75 % des pompes à perfusion analysées présentaient des failles de sécurité connues qui les exposaient à un risque accru d’être compromises par des attaquants”, ont déclaré les chercheurs. “Ces lacunes comprenaient l’exposition à une ou plusieurs des quelque 40 vulnérabilités de cybersécurité connues et/ou des alertes indiquant qu’ils présentaient un ou plusieurs des quelque 70 autres types de lacunes de sécurité connues pour les appareils IoT.”

Le rapport répertorie plusieurs vulnérabilités affectant la plupart des pompes à perfusion, notamment CVE-2019-12255, CVE-2019-12264, CVE-2016-9355, CVE-2016-8375, CVE-2020-25165, CVE-2020-12040, CVE-2020. -12047, CVE-2020-12045, CVE-2020-12043 et CVE-2020-12041.

Le CVE-2019-12255, qui avait une note de 9,8, a été trouvé dans 52,11 % de toutes les pompes à perfusion examinées par Palo Alto. CVE-2020-12040, CVE-2020-12047, CVE-2020-12045, CVE-2020-12043 et CVE-2020-12041 avaient tous des cotes de 9,8 et ont été trouvés dans au moins 15 % des pompes à perfusion examinées.

Aveek Das, le chercheur de l’Unité 42 qui a mené l’étude, a déclaré ZDNet que les acteurs de la menace pourraient potentiellement exploiter certaines de ces vulnérabilités pour prendre le contrôle des fonctions de la pompe, y compris le dosage des médicaments.

Également: Certains NFT ‘Smol’ sont revenus après que l’exploit du marché Treasure ait conduit au vol

Das a ajouté que les problèmes qu’ils ont découverts ne sont “que la pointe de l’iceberg” et a noté qu’il était probable qu’ils trouveraient des choses similaires avec d’autres appareils connectés dans les hôpitaux.

“Nous nous sommes concentrés sur les pompes à perfusion car elles sont si répandues – elles représentent 44% de tous les dispositifs médicaux et sont le type d’appareils connectés le plus largement utilisé dans les établissements de santé”, a déclaré Das.

La plupart des grands systèmes hospitaliers ont des milliers de pompes à perfusion, ce qui rend difficile pour les équipes de sécurité de gérer et de déterminer celles qui doivent être remplacées ou mises à jour.

“Les vulnérabilités les plus courantes que nous avons observées et spécifiques aux systèmes d’infusion que nous avons étudiés peuvent être regroupées en plusieurs catégories selon les effets qu’elles peuvent avoir : fuite d’informations sensibles, accès non autorisés et débordement. D’autres vulnérabilités proviennent de TCP/IP tiers. s’empilent mais peuvent affecter les appareils et leurs systèmes d’exploitation », ont expliqué les chercheurs.

“Nous observons qu’un grand nombre de vulnérabilités dans les systèmes de pompe à perfusion – et dans l’ensemble des appareils de l’Internet des objets médicaux (IoMT) – sont liées à la fuite d’informations sensibles. Les appareils vulnérables à ce type de problème peuvent divulguer des informations opérationnelles, des données spécifiques au patient , ou les informations d’identification de configuration de l’appareil ou du réseau. Les attaquants qui cherchent à exploiter ces vulnérabilités ont besoin de différents degrés d’accès. Par exemple, CVE-2020-12040, qui est spécifique aux canaux de communication en texte clair, peut être exploité à distance par un attaquant via un homme- Attaque intermédiaire pour accéder à toutes les informations de communication entre une pompe à perfusion et un serveur. Accéder à des informations sensibles – ce qui rend l’attaque moins probable, mais toujours possible pour un attaquant ayant des motivations spécifiques.”

Le rapport ajoute que certaines des autres vulnérabilités découvertes pourraient donner aux utilisateurs non authentifiés la possibilité d’accéder à un appareil ou d’envoyer du trafic réseau selon un certain modèle, ce qui peut empêcher un appareil de répondre ou fonctionner d’une manière inattendue.

Les chercheurs ont déclaré que les vulnérabilités peuvent entraîner une variété de mauvais résultats, notamment des perturbations des opérations hospitalières et des soins aux patients.

“L’utilisation continue des informations d’identification par défaut, qui sont facilement disponibles en ligne via une simple recherche, est un autre problème majeur dans les appareils IoT en général – car elle peut donner à toute personne qui se trouve dans le même réseau hospitalier que les appareils médicaux un accès direct à ceux-ci”, a déclaré le dit le rapport.

“De nombreux appareils IoMT (et IoT) et leurs systèmes d’exploitation utilisent des bibliothèques multiplateformes tierces, telles que des piles réseau, qui peuvent présenter des vulnérabilités affectant l’appareil en question. Par exemple, pour CVE-2019-12255 et CVE 2019-12264 , la pile TCP/IP vulnérable IPNet est un composant du système d’exploitation ENEA des pompes à perfusion Alaris, rendant ainsi les appareils vulnérables.”

Pompes à perfusion sont depuis longtemps une source de colère pour les experts en cybersécurité et les fournisseurs qui ont passé plus d’une décennie à essayer d’améliorer leur sécurité. Palo Alto a noté que la Food and Drug Administration des États-Unis a annoncé sept rappels de pompes à perfusion ou leurs composants en 2021 et neuf autres rappels en 2020.

Il y a aussi eu un mouvement pour établir un niveau de base de la cybersécurité pour l’industrie, mais elle a été entravée par le fait que la plupart des pompes à perfusion durent environ 10 ans. Cela signifie que de nombreux hôpitaux utilisent des pompes vieilles de plusieurs années, ce qui rend plus difficile l’application de nouvelles fonctionnalités de sécurité.

Palo Alto n’a pas pu dire si ces vulnérabilités ont déjà été exploitées, et presque aucune attaque contactée par un expert n’a pu identifier les situations dans lesquelles ces vulnérabilités ont été utilisées.

Mais Casey Ellis, CTO chez Bugcrowd, a déclaré que les problèmes liés aux dispositifs de sécurité médicale sont incroyablement personnels et déconcertants.

“J’ai vu l’exploitation sans fil de systèmes similaires utilisés pour créer des conditions capables de vider tout le contenu d’une pompe à perfusion ou de faire décharger la batterie d’un stimulateur cardiaque en une seule fois. Ces vulnérabilités n’ont pas le même type de sécurité immédiate. implication, mais un attaquant pourrait facilement exploiter les bogues de fuite d’informations, par exemple, pour obtenir des données utilisables pour menacer et extorquer un utilisateur avec un résultat similaire », a déclaré Ellis.

“Les dispositifs médicaux sont intimement liés à leur utilisateur, et dans le cas d’une attaque ciblée, les possibilités vont de l’extorsion à la surveillance en passant par la compromission directe de l’individu lui-même. Les vulnérabilités du rapport ne semblent pas être directement liées à la capacité pour nuire à un utilisateur, mais là où il y a de la fumée, il y a généralement du feu. L’implication du rapport est que les vulnérabilités logicielles (et le temps de latence dans les correctifs) sont un problème systémique avec les dispositifs médicaux. C’est en partie un domaine d’amélioration importante pour les fabricants de dispositifs médicaux, et en partie un défi de test et de mise à jour des systèmes critiques pour la sécurité.”

Leave a Comment