Múltiples defectos de día cero descubiertos en Popular …



Las fallas de «PwnedPiper» podrían permitir a los atacantes interrumpir la entrega de muestras de laboratorio o robar las credenciales de los empleados del clinic, según muestra una nueva investigación.

Escondidas detrás de las paredes interiores de miles de hospitales en los EE. UU. Hay redes poco conocidas de sistemas de tubos presurizados por aire que transportan medicamentos, análisis de sangre y muestras de análisis entre los departamentos del clinic, el laboratorio y el quirófano. Recientemente se descubrió que una de las más populares de estas estaciones de sistemas de tubos neumáticos (PTS) albergaba varias vulnerabilidades que los atacantes podrían explotar para llevar a cabo ataques disruptivos en este sistema crítico de prestación de servicios hospitalarios o para robar o filtrar información personalized confidencial sobre los empleados del healthcare facility. .

Los investigadores de Armis descubrieron las fallas en el panel de handle del sistema TransLogic PTS de Swisslog Healthcare, un sistema de transporte utilizado en más de 3.000 hospitales en todo el mundo. Un atacante podría explotar las fallas en el Panel de Management TransLogic Nexus, que ejecuta las estaciones PTS, sin autenticarse en la crimson, según Ben Seri, vicepresidente de investigación de Armis, quien junto con el investigador Barak Hadad detallar sus hallazgos esta semana en Black Hat Usa en Las Vegas.

Un modelo más antiguo de TransLogic PTS de Swisslog, su modelo de estación IQ que se suspendió en 2017, también contiene algunas de las fallas. Ese sistema ya no es compatible con el proveedor, por lo que los clientes de Swisslog deberían actualizarse al producto más nuevo, según Armis.

Los investigadores han llamado «PwndPiper» a las fallas que encontraron en el panel de management Nexus de Swisslog. Las vulnerabilidades incluyen dos contraseñas codificadas de forma rígida de cuentas de usuario y raíz a las que se puede acceder a través del acceso telnet fijo y predeterminado en el panel de command (CVE-2021-37163) y cuatro fallas de corrupción de memoria en la implementación del protocolo de command TLP20 nativo del sistema que podrían usarse para ejecución remota de código y ataques de denegación de servicio. Estos son defectos de tipo desbordamiento de pila y búfer y se han informado como CVE-2021-37161, CVE-2021-37162, CVE-2021-37165 y CVE-2021-37164.

El Panel de management de Nexus también contiene una falla de escalada de privilegios que podría permitir el acceso de root a través de telnet y credenciales codificadas para obtener acceso de root (CVE-2021-37167), y una falla de denegación de servicio (DoS) (CVE-2021-37166) ) en la interfaz gráfica de usuario en el panel de manage que podría permitir a un atacante realizar un DoS suplantando los comandos de la GUI. El panel de regulate de Nexus también contiene una falla de diseño que permite actualizaciones de firmware (CVE-2021-37160) sin firmar, así como sin autenticar y sin cifrar, encontraron los investigadores.

Seri dice que si un atacante piratea una estación Nexus a través de cualquiera de estos defectos, podría arrebatar el management de todas las estaciones Nexus en la pink PTS y lanzar un ataque de ransomware, por ejemplo, o robar datos de las estaciones, incluidas las credenciales RFID de los empleados y otra inteligencia sobre la configuración física del PTS.

«El panel de handle Nexus alimenta las estaciones en las instalaciones. Una vez que compromete una estación, sin (necesitar) credenciales, puede recopilar las credenciales de cualquier empleado para acceder a estos sistemas», incluidas sus tarjetas RFID que abren puertas en el edificio del hospital, dice. .

Mientras tanto, Swisslog emitió hoy una actualización de software para el firmware, v7.2.5.7, que corrige todas las vulnerabilidades menos una, CVE-2021-37160, el problema del firmware sin firmar. Por ahora, el proveedor está proporcionando pasos de mitigación para esa vulnerabilidad.

«En mayo, el proveedor de la plataforma de seguridad cibernética Armis se acercó a nosotros para compartir que encontró algunas vulnerabilidades potenciales en nuestro firmware TransLogic que maneja un panel específico en algunos sistemas de tubos neumáticos si un mal actor pudo primero obtener acceso exitosamente a la crimson segura de un healthcare facility. conocer y comprender el camino desde allí hasta el panel, y luego aprovechar las vulnerabilidades «, dijo un portavoz de Swisslog en un comunicado proporcionado a Darkish Reading. «Inmediatamente comenzamos a colaborar tanto en la mitigación a corto plazo como en las soluciones a largo plazo».

Swisslog dijo en su aviso emitió hoy que las fallas de firmware afectan la placa de circuito HMI-3 en los paneles Nexus cuando los sistemas están conectados a Ethernet, y los sistemas afectados se utilizan principalmente en hospitales en América del Norte. Un atacante necesitaría acceso a la crimson de TI de la víctima para explotar las vulnerabilidades, según Swisslog.

Si bien Armis y Swisslog dicen que trabajaron de cerca en la remediación y divulgación de las vulnerabilidades, aún no están de acuerdo con el número complete de fallas. Armis dice que los ocho CVE explican nueve fallas que descubrió (apunta a las dos contraseñas codificadas en CVE-2021-37163), pero Swisslog dice que Armis contó nueve después de considerar que «una vulnerabilidad podría tener más de un impacto y lo afirma como dos vulnerabilidades «, según un portavoz de Swisslog.

Seri de Armis lo explain de esta manera: «Así que a estas dos cuentas que tienen contraseñas codificadas de forma rígida se les asignó un único CVE. Swisslog eliminó una de estas cuentas, el usuario, pero la cuenta raíz aún permanecía en el firmware después del parche. Por eso Por lo tanto, está claro que se trata de vulnerabilidades independientes, ya que tendrán dos soluciones distintas «.

Otro riesgo de seguridad de IoT / OT
Los dispositivos Nexus Station de Swisslog se basan en una versión anterior del kernel de Linux, v2.6, y son administrados por un servidor central basado en Windows que se encuentra en la parte superior de toda la crimson PTS. Entre las características de la crimson se encuentran transferencias seguras de entrega, utilizando la RFID y contraseña del empleado, y alertas por correo electrónico y SMS al momento de la entrega de un contenedor.

«Hace diez años, estos sistemas se usaban principalmente para realizar pruebas», dice Seri. «Pero ahora están más integrados con el healthcare facility y dependen más de ellos para los medicamentos y las unidades de sangre», por lo que su interrupción sería grave.

El sistema Swisslog tenía en su versión de producción una contraseña codificada «dejada inadvertidamente» de un desarrollador del sistema, señala Seri, y podría usarse a través de telnet para ejecutar código de forma remota en el sistema.

Los sistemas PTS son otro sistema físico que alguna vez estuvo aislado y que finalmente se encontró que era propenso a ataques cibernéticos después de unirse a la infraestructura de crimson basada en IP. Tradicionalmente han sido «seguros» debido a su oscuridad, señala.

«Creo que esto debería ser una llamada de atención para que un clinic siga adelante y termine la segmentación» en su pink, dice Seri. «La mayoría lo ha segmentado para sus dispositivos médicos, pero otros sistemas que no están conectados directamente con los pacientes» todavía afectan la atención del paciente y deben segmentarse y asegurarse, dice.

«El servidor central y todas las estaciones pueden hablar con (esos) dispositivos y no deberían hablar con ningún otro dispositivo en la crimson», por ejemplo, dice.

Armis hoy publicó los detalles técnicos de sus hallazgos.

Kelly Jackson Higgins es la editora ejecutiva de Darkish Looking through. Es una periodista veterana y galardonada en tecnología y negocios con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Network Computing, Secure Company … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial