米国政府は今日、医療ワークステーションの2つのセキュリティ上の脆弱性が悪質な人物によって悪用され、機器や接続された輸液ポンプが乗っ取られ、患者に危害を及ぼす可能性があると明らかにした。
情報セキュリティ企業CyberMDXが特定した脆弱性CVE-2019-10959(深刻度10/10)、およびCVE-2019-10962(深刻度7.5)は、情報セキュリティ企業CyberMDXによって発見されました。これらの脆弱性は、ベクトン・ディッキンソンのAlaris Gateway Workstation(AGW)の特定バージョンに影響を及ぼします。AGWは、輸液ポンプとシリンジポンプに電力とネットワーク接続を提供します。この機器はアメリカでは販売されていませんが、ヨーロッパとアジアでは使用されています。
米国国土安全保障省の産業制御システムサイバー緊急対応チーム(ICS-CERT)は、これらの脆弱性の詳細を記載したアドバイザリ(ICSMA-19-164-01)を発行しました。最新のファームウェアバージョン1.3.2および1.6.1を実行しているAGWデバイスは影響を受けませんが、それ以前のバージョンは影響を受けます。
重大な欠陥の場合、影響を受けるバージョンには、1.1.3 ビルド 10、1.1.3 MR ビルド 11、1.2 ビルド 15、1.3.0 ビルド 14、および 1.3.1 ビルド 13 が含まれます。中程度の欠陥の場合、影響を受けるバージョンには、1.0.13、1.1.3 ビルド 10、1.1.3 MR ビルド 11、1.1.5、および 1.1.6 が含まれます。
古いファームウェアを実行している AGW ハードウェア以外にも、2006 年にリリースされたソフトウェア バージョン 2.3.6 を実行している他のいくつかの Alaris デバイス (GS、GH、CC、TIVA) も影響を受けます。
攻撃者がこの重大な欠陥を悪用すると、悪意のあるファームウェアをリモートでインストールし、ワークステーションを無効にしたり、その機能を変更したりする可能性があります。
ドキュメントでは、非常に悪質なマルウェアが都市の病院を襲った場合に何が起こるかをシミュレーションしました。ご冥福をお祈りします :(
続きを読む
そのためには、攻撃者はまず病院のネットワークにアクセスする必要があります。病院や医療機関では古いOSやソフトウェアが使用されており、ランサムウェアによる被害も日常的に発生していることを考えると、これはそれほど難しいことではありません。
次に、侵入者は、Microsoft Windows のドライバーやシステム ファイルに関連するデータを保存するために使用されるアーカイブ形式である Windows キャビネット ファイル (CAB) を作成し、そこに悪意のある実行可能ファイルを仕掛けます。
この脆弱性の核心はここにあります。特別な権限や認証なしに、ネットワーク経由でAGWのファームウェアを更新できるのです。Windows SMBを使ってCABファイルをコピーするだけで済みます。つまり、ハッカーはWindows CEを搭載した脆弱なワークステーションに悪意のある.CABファイルをアップロードでき、AGWはファイルシステム上でアーカイブを解凍し、実行ファイルを侵入者のマルウェアやスパイウェアで上書きしてしまうのです。
推奨される緩和策としては、SMB プロトコルのブロック、VLAN ネットワークの分離、病院ネットワークにアクセスできるユーザーを制限する手順の実施などがあります。
医療機器メーカーのベクトン・ディッキンソンは、自社ウェブサイトの勧告で、「BDは、この脆弱性の範囲変更が臨床に与える影響を評価し、ワークステーションの脆弱性をリモートから悪用し、患者のIV点滴の実施に影響を与えるカスタム実行コードを作成する可能性は理論的にはあり得るものの、高度な訓練を受けた攻撃者によって特定の順序で発生しなければならない一連のイベントのため、患者に危害が及ぶ可能性は低いと結論付けました」と述べた。
もう一つのそれほど深刻ではない欠陥の影響により、デバイスの IP アドレスを知っている攻撃者が、監視データ、イベント ログ、ユーザー ガイド、構成設定などの情報にブラウザー インターフェースを通じてアクセスできる可能性があります。
このブラウザインターフェースの問題は、ファームウェアバージョン1.3.2または1.6.1をインストールすることで軽減できます。また、ネットワークアクセスの制限とセグメント化も推奨されます。
CyberMDXの研究責任者であるエラッド・ルス氏は、電子メールによる声明の中で、患者の安全を確保するために、医療機器に関わるすべての人(機器メーカー、病院、テクノロジー企業)がサイバーセキュリティに取り組む必要があると強調した。®
