Sicherheitslücken in Ultraschallgeräten entdeckt
Sicherheitsexperten haben fast ein Dutzend Sicherheitslücken in der "GE HealthCare Vivid Ultrasound"-Produktfamilie aufgedeckt. Diese Schwachstellen könnten von Hackern genutzt werden, um Patientendaten zu verändern oder sogar Ransomware zu installieren.
Laut einem technischen Bericht von Nozomi Networks ermöglichen die entdeckten Schwachstellen vielfältige Angriffe: von der Installation von Ransomware auf den Ultraschallgeräten bis hin zur Manipulation und dem Zugriff auf gespeicherte Patientendaten.
Die Sicherheitsprobleme betreffen das Vivid T9-Ultraschallsystem und die vorinstallierte Common Service Desktop-Webanwendung, die über die Localhost-Schnittstelle des Geräts administrative Aktionen ermöglicht. Auch die Software EchoPAC, die auf den Windows-Rechnern der Ärzte installiert ist und den Zugriff auf Ultraschallbilder erlaubt, ist betroffen.
Um die Schwachstellen auszunutzen, müsste ein Angreifer zunächst Zugang zur Krankenhausumgebung erhalten und direkt mit dem Gerät interagieren. Danach könnte er beliebigen Code mit Administratorrechten ausführen. Ein hypothetisches Angriffsszenario könnte beinhalten, dass der Angreifer die Vivid T9-Systeme durch Ransomware sperrt und Patientendaten stiehlt oder verändert.
Die schwerwiegendste Schwachstelle, CVE-2024-27107 (CVSS-Score: 9.6), betrifft die Verwendung von hartkodierten Anmeldedaten. Weitere Schwachstellen beinhalten Befehlsinjektion (CVE-2024-1628), Ausführung mit unnötigen Privilegien (CVE-2024-27110 und CVE-2020-6977), Pfadumgehung (CVE-2024-1630 und CVE-2024-1629) und das Versagen von Schutzmechanismen (CVE-2020-6977).
Die Sicherheitsexpeten von Nozomi Networks haben eine Exploit-Kette entwickelt, die CVE-2020-6977 nutzt, um lokalen Zugriff auf das Gerät zu erhalten, und dann CVE-2024-1628, um Code auszuführen.
„Um den Prozess zu beschleunigen, […] kann ein Angreifer auch den freiliegenden USB-Anschluss missbrauchen und ein bösartiges USB-Laufwerk anschließen, das durch die Emulation von Tastatur und Maus automatisch alle notwendigen Schritte in übermenschlicher Geschwindigkeit ausführt“, erklärt Nozomi Networks.
Alternativ könnte sich ein Angreifer mit gestohlenen VPN-Zugangsdaten Zugang zum internen Netzwerk eines Krankenhauses verschaffen, nach anfälligen EchoPAC-Installationen suchen und dann CVE-2024-27107 ausnutzen, um Zugriff auf die Patientendatenbank zu erhalten und deren Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden.
GE HealthCare erklärte, dass bestehende Sicherheitsmaßnahmen die Risiken durch diese Schwachstellen auf ein akzeptables Niveau senken. Das Unternehmen betont, dass nur jemand mit direktem, physischem Zugang zum Gerät diese Schwachstellen ausnutzen könnte, und dass legitime Nutzer des Geräts klare Hinweise erhalten würden, falls ein Angreifer das Gerät manipuliert hätte.
Die Enthüllung folgt auf die Aufdeckung von Sicherheitslücken im Merge DICOM Toolkit für Windows, die zu Denial-of-Service-Angriffen führen konnten. Diese Probleme wurden in Version v5.18 der Bibliothek behoben.
Ebenfalls wurde eine kritische Sicherheitslücke im Siemens SIMATIC Energy Manager (EnMPro) entdeckt, die es einem entfernten Angreifer ermöglichen könnte, beliebigen Code mit SYSTEM-Rechten auszuführen. Benutzer sollten auf Version V7.3 Update 1 oder höher aktualisieren, da frühere Versionen anfällig für diese Schwachstelle sind.
Darüber hinaus wurden in der ThroughTek Kalay Platform, die in IoT-Geräten wie Babyphones und Sicherheitskameras verwendet wird, Sicherheitslücken entdeckt. Diese ermöglichen es Angreifern, Root-Zugriff zu erlangen und Remote-Code auszuführen. Diese Schwachstellen, die Geräte von Herstellern wie Owlet, Roku und Wyze betreffen, wurden im April 2024 gepatcht. Bitdefender warnte, dass diese Schwachstellen die Privatsphäre und Sicherheit der Nutzer erheblich beeinträchtigen könnten.