Pesquisadores de segurança revelaram quase uma dúzia de falhas na família de produtos GE HealthCare Vivid Ultrasound, que podem ser exploradas por hackers para adulterar dados de pacientes e até instalar ransomware em determinadas circunstâncias.
"Os impactos dessas falhas são diversos: desde a implantação de ransomware na máquina de ultrassom até o acesso e a manipulação de dados de pacientes armazenados nos dispositivos vulneráveis", afirmou a Nozomi Networks, fornecedora de segurança em tecnologia operacional (OT), em um relatório técnico.
As falhas de segurança afetam o sistema de ultrassom Vivid T9 e seu aplicativo web pré-instalado, Common Service Desktop, que é exposto na interface localhost do dispositivo e permite aos usuários realizar ações administrativas.
Elas também afetam outro software chamado EchoPAC, instalado na estação de trabalho Windows de médicos para ajudá-los a acessar imagens de eco, vasculares e abdominais em várias dimensões.
Para explorar essas falhas com sucesso, um hacker precisa primeiro obter acesso ao ambiente hospitalar e interagir fisicamente com o dispositivo, após o que ele pode ser explorado para executar código arbitrário com privilégios administrativos.
Em um cenário hipotético de ataque, um hacker poderia bloquear os sistemas Vivid T9 implantando um ransomware e até exfiltrar ou adulterar dados de pacientes.
A vulnerabilidade mais grave é a CVE-2024-27107 (pontuação CVSS: 9.6), relacionada ao uso de credenciais embutidas. Outras falhas incluem injeção de comandos (CVE-2024-1628), execução com privilégios desnecessários (CVE-2024-27110 e CVE-2020-6977), travessia de diretórios (CVE-2024-1630 e CVE-2024-1629) e falha no mecanismo de proteção (CVE-2020-6977).
A cadeia de exploração criada pela Nozomi Networks usa a CVE-2020-6977 para obter acesso local ao dispositivo e depois utiliza a CVE-2024-1628 para executar código.
"Para acelerar o processo, um atacante também pode utilizar a porta USB exposta e conectar um pen drive malicioso que, emulando o teclado e o mouse, realiza automaticamente todos os passos necessários em uma velocidade superior à humana", explicou a empresa.
Alternativamente, um hacker poderia obter acesso à rede interna de um hospital usando credenciais de VPN roubadas obtidas por phishing ou vazamento de dados, escanear por instalações vulneráveis do EchoPAC e explorar a CVE-2024-27107 para obter acesso irrestrito ao banco de dados de pacientes, comprometendo sua confidencialidade, integridade e disponibilidade.
A GE HealthCare afirmou em avisos que "mitigações e controles existentes" reduzem os riscos dessas falhas a níveis aceitáveis.
"No improvável evento de que um hacker com acesso físico torne o dispositivo inutilizável, haveria indicadores claros disso para o usuário do dispositivo", observou. "A vulnerabilidade só pode ser explorada por alguém com acesso direto e físico ao dispositivo."
A divulgação dessas falhas ocorre semanas após a descoberta de vulnerabilidades no Merge DICOM Toolkit para Windows (CVE-2024-23912, CVE-2024-23913 e CVE-2024-23914), que poderiam ser usadas para desencadear uma condição de negação de serviço (DoS) no serviço DICOM. Os problemas foram resolvidos na versão v5.18 da biblioteca.
Isso também segue a descoberta de uma falha crítica no Siemens SIMATIC Energy Manager (EnMPro) (CVE-2022-23450, pontuação CVSS: 10.0), que pode ser explorada por um atacante remoto para executar código arbitrário com privilégios de SISTEMA ao enviar objetos maliciosamente criados.
"Um atacante que explore com sucesso essa vulnerabilidade poderia executar código remotamente e obter controle total sobre um servidor EnMPro", disse o pesquisador de segurança da Claroty, Noam Moshe.
Os usuários foram fortemente recomendados a atualizar para a versão V7.3 Update 1 ou posterior, pois todas as versões anteriores contêm uma vulnerabilidade de desserialização insegura.
Foram também descobertas fraquezas na Plataforma ThroughTek Kalay, integrada em dispositivos de Internet das Coisas (IoT) (de CVE-2023-6321 a CVE-2023-6324), que permitem a um atacante escalar privilégios, executar comandos como root e estabelecer uma conexão com um dispositivo da vítima.
"Quando encadeadas, essas vulnerabilidades facilitam o acesso root não autorizado a partir da rede local, bem como a execução remota de código para subverter completamente o dispositivo da vítima", explicou a empresa de cibersegurança romena Bitdefender. "A execução remota de código só é possível depois que o dispositivo foi sondado a partir da rede local."
As vulnerabilidades, corrigidas em abril de 2024 após divulgação responsável em outubro de 2023, foram encontradas afetando monitores de bebês e câmeras de segurança interna de fornecedores como Owlet, Roku e Wyze, permitindo que hackers as encadeiem para executar comandos arbitrários nos dispositivos.
"As ramificações dessas vulnerabilidades vão além de exploits teóricos, pois impactam diretamente a privacidade e segurança dos usuários que confiam em dispositivos alimentados pela ThroughTek Kalay", acrescentou a empresa.
Via - THN
Comments