Pesquisadores de segurança revelaram quase uma dúzia de falhas de segurança afetando a família de produtos de ultrassom Vivid da GE HealthCare, que poderiam ser exploradas por atores mal-intencionados para adulterar dados de pacientes e até instalar ransomware em determinadas circunstâncias.
"Os impactos possibilitados por essas falhas são múltiplos: desde a implantação de ransomware na máquina de ultrassom até o acesso e manipulação de dados de pacientes armazenados nos dispositivos vulneráveis", disse o fornecedor de segurança de tecnologia operacional (OT), Nozomi Networks, em um relatório técnico.
As questões de segurança impactam o sistema de ultrassom Vivid T9 e sua aplicação web Common Service Desktop pré-instalada, que é exposta na interface localhost do dispositivo e permite aos usuários realizar ações administrativas.
Elas também afetam outro programa de software chamado EchoPAC, que é instalado na estação de trabalho Windows de um médico para ajudá-los a acessar imagens de ultrassom multi-dimensionais, vasculares e abdominais.
Dito isso, a exploração bem-sucedida das falhas requer que um ator de ameaças primeiro ganhe acesso ao ambiente hospitalar e interaja fisicamente com o dispositivo, após o qual elas podem ser exploradas para alcançar a execução arbitrária de código com privilégios administrativos.
Em um cenário hipotético de ataque, um ator mal-intencionado poderia bloquear os sistemas Vivid T9, implantando uma payload de ransomware e até exfiltrar ou adulterar dados de pacientes.
A mais grave das vulnerabilidades é a
CVE-2024-27107
(pontuação CVSS: 9.6), que diz respeito ao uso de credenciais codificadas.
Outras deficiências identificadas relacionam-se com injeção de comando (
CVE-2024-1628
), execução com privilégios desnecessários (
CVE-2024-27110
e
CVE-2020-6977
), travessia de caminho (
CVE-2024-1630
e
CVE-2024-1629
) e falha no mecanismo de proteção (
CVE-2020-6977
).
A cadeia de exploração desenvolvida pela Nozomi Networks combina a
CVE-2020-6977
para obter acesso local ao dispositivo e depois utiliza a
CVE-2024-1628
para alcançar a execução de código.
"No entanto, para acelerar o processo, [...] um atacante também pode abusar da porta USB exposta e conectar um pendrive malicioso que, emulando o teclado e o mouse, realiza automaticamente todos os passos necessários em uma velocidade superhumana", disse a empresa.
Alternativamente, um adversário poderia obter acesso à rede interna de um hospital usando credenciais VPN roubadas por outros meios (por exemplo, phishing ou vazamento de dados), procurar por instalações vulneráveis do EchoPAC e então explorar a
CVE-2024-27107
para obter acesso irrestrito ao banco de dados do paciente, comprometendo efetivamente sua confidencialidade, integridade e disponibilidade.
A GE HealthCare, em um conjunto de avisos, disse que "mitigações e controles existentes" reduzem os riscos apresentados por essas falhas para níveis aceitáveis.
"No caso improvável de um ator mal-intencionado com acesso físico poder tornar o dispositivo inutilizável, haveria indicadores claros disso para o usuário pretendido do dispositivo", observou.
"A vulnerabilidade só pode ser explorada por alguém com acesso direto e físico ao dispositivo."
A divulgação acontece semanas após falhas de segurança também terem sido descobertas no Merge DICOM Toolkit para Windows (
CVE-2024-23912
,
CVE-2024-23913
e
CVE-2024-23914
) que poderiam ser usadas para desencadear uma condição de negação de serviço (DoS) no serviço DICOM.
As questões foram resolvidas na versão v5.18 [PDF] da biblioteca.
Isso também segue a descoberta de uma falha de segurança de máxima gravidade no produto Siemens SIMATIC Energy Manager (EnMPro) (
CVE-2022-23450
, pontuação CVSS: 10.0) que poderia ser explorada por um atacante remoto para executar código arbitrário com privilégios de SYSTEM, enviando objetos maliciosamente criados.
"Um atacante que explorasse com sucesso essa vulnerabilidade poderia executar código remotamente e obter controle total sobre um servidor EnMPro", disse o pesquisador de segurança da Claroty, Noam Moshe.
Recomenda-se fortemente que os usuários atualizem para a versão V7.3 Atualização 1 ou posterior, pois todas as versões anteriores contêm a vulnerabilidade de deserialização insegura.
Fraquezas de segurança também foram descobertas na Plataforma Kalay da ThroughTek, integrada dentro de dispositivos da Internet das Coisas (IoT) (de
CVE-2023-6321
a
CVE-2023-6324
) que permite a um atacante escalar privilégios, executar comandos como root e estabelecer uma conexão com um dispositivo vítima.
"Quando encadeadas juntas, essas vulnerabilidades facilitam o acesso root não autorizado de dentro da rede local, bem como a execução remota de código para subverter completamente o dispositivo vítima", disse a empresa romena de segurança cibernética Bitdefender.
A execução remota de código só é possível após o dispositivo ter sido sondado da rede local.
As vulnerabilidades, corrigidas em abril de 2024 após divulgação responsável em outubro de 2023, mostraram afetar monitores de bebê e câmeras de segurança internas de fornecedores como Owlet, Roku e Wyze, permitindo que atores de ameaças as encadeiem para executar comandos arbitrários nos dispositivos.
"As repercussões dessas vulnerabilidades vão muito além do âmbito de explorações teóricas, pois impactam diretamente na privacidade e segurança dos usuários que confiam em dispositivos alimentados pela ThroughTek Kalay", acrescentou a empresa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...