照片:FROGGYFROGG/GETTY IMAGES
从 CT 扫描仪等成像工具到诊断实验室设备,医疗网络上的很多设备通常没有得到充分保护。现在,关于物联网远程管理工具中七个漏洞的新发现,强调了与物联网生态系统有关的医疗设备的风险。
今年初,医疗保健安全公司 CyberMDX (被物联网安全公司 Forescout 收购)的研究人员,在物联网远程访问工具 PTC Axeda 中发现了七个易于利用的漏洞,统称为 Access:7。该平台可与任何嵌入式设备一起使用,但事实证明它在医疗设备中特别受欢迎。研究人员还发现,一些公司已经使用它来远程管理 ATM、自动售货机、条形码扫描系统和一些工业制造设备。研究人员估计,数十万台设备中存在Access:7 漏洞。在对其客户的审查中,Forescout 发现了 2,000 多个易受攻击的系统。
“你可以想象,当攻击者可以从医疗设备或其他敏感设备中窃取数据、可能篡改实验室结果、使关键设备不可用或完全接管它们时,他们可能会产生什么样的影响,”Forescout 的安全研究负责人 Daniel dos Santos 说。
一些漏洞与 Axeda 如何处理未记录和未经身份验证的命令有关,从而允许攻击者操纵平台。其他与默认配置问题有关,例如多个 Axeda 用户共享的硬编码、可猜测的系统密码。七个漏洞中的三个被评为严重漏洞,另外四个是中到高严重性的错误。
攻击者可能会利用这些漏洞获取患者数据、更改测试结果或其他医疗记录、发起拒绝服务攻击,使医疗保健提供者无法在需要时访问患者数据、破坏工业控制系统,甚至获得立足点攻击自动取款机。
漏洞在这个领域并不罕见,但攻击者特别容易利用这些漏洞。如果被利用,Access:7 漏洞的潜在损害可能与最近一连串的勒索软件攻击相当,这一切都源于黑客利用了一家名为 Kaseya 的公司的 IT 管理软件中的缺陷。这些产品是不同的,但它们的普遍性为破坏性攻击创造了类似的条件。Access:7更适合根深蒂固的IoT不安全性和历史性的、未解决的漏洞。
研究人员与已发布漏洞补丁的 PTC 以及美国网络安全和基础设施安全局、H-ISAC 和食品药品监督管理局进行协调披露。
“此次披露是 PTC、CyberMDX 和 CISA 之间合作努力的结果,”PTC 在一份声明中告诉《连线》杂志。“PTC 和 CyberMDX 合作彻底调查并针对漏洞实施适当的补救措施。然后,PTC 在披露之前通知客户并指导他们进行补救,提高了用户的意识,并有机会解决对其系统和数据的潜在威胁。”
与任何物联网漏洞披露一样,最大的挑战之一是通知客户或以前的客户,并让他们更新软件或采取其他措施来减轻风险。不想冒险通过修补来破坏关键系统的 Axeda 用户仍然可以采取保护措施,例如阻止某些网络端口和调整配置。Forescout 的 dos Santos 指出,这种情况的一个优势是绝大多数易受攻击的设备都不会暴露在开放的互联网上,这意味着它们不能被直接远程入侵。尽管如此,他警告说,通过其他方式破坏医院或商业网络的攻击者将可以远程访问易受攻击的系统。
“下游供应商需要时间来确定哪些设备在他们的网络上易受攻击并实际将补丁应用到他们的产品上,这就是为什么提高意识很重要,”dos Santo 说。“远程管理工具可以解决一些实际问题。物联网的问题,但部署和配置的方式也会导致问题。”
这是困扰物联网多年的难题:设备,尤其是敏感的医疗保健相关设备,需要易于修补。但是,使远程管理成为可能的机制中的缺陷创造了一个全新的风险领域。