Macos Brawte nfaq 0 Comments

数千台の「直接ハッキング可能な」病院機器がオンラインで公開

Table of Contents

数千台の「直接ハッキング可能な」病院機器がオンラインで公開

ダービーコン磁気共鳴画像装置や核医学装置など、攻撃に対して脆弱な重要な医療システムが数千台、オンラインで無防備状態になっていることが判明した。

セキュリティ研究者のスコット・アーベン氏とマーク・コラオ氏は、一例として、名前が伏せられた米国の「非常に大規模な」医療機関が6万8000以上の医療システムを危険にさらしていたことを発見した。この米国医療機関には約1万2000人の職員と3000人の医師が勤務している。

露出した機器は、麻酔機器 21 台、心臓病機器 488 台、核医学機器 67 台、輸液システム 133 台、ペースメーカー 31 台、MRI スキャナー 97 台、画像アーカイブおよび通信機器 323 台であった。

この医療機関は、インターネット上の情報を検索する検索エンジン「Shodan」を通じて発見できる機器を保有する「数千」の医療機関のうちの1つに過ぎなかった。

プロティビティのアソシエイトディレクターで、医療機器のセキュリティ管理を専門に5年間経験するアーベン氏は、病院の重要な機器が犯罪者の手の届くところにあると語った。

「[Shodan の検索用語] を、放射線科や足病科、小児科などの専門クリニックをターゲットにするように変更し始めたら、設定ミスや直接的な攻撃ベクトルを持つものが何千件も見つかった」とアーベン氏は言う。

「データが盗まれる可能性があるだけでなく、患者のプライバシーに重大な影響が及ぶ可能性があります。」

セキュリティコンサルタント会社NeoHapsisのCollao氏は、無防備なネットワーク機器や管理用コンピュータにより、攻撃者は特定の医療機器が設置されているフロアを含む、医療機関に関する詳細な情報を収集できると述べた。

「(医療)機器上で実行されるペイロードを含んだ電子メールを簡単に作成し、その(医療)機器にアクセスできる人物に送信することができる」とコラオ氏は語った。

「[医療機器]はすべてWindows XPまたはXP Service Pack 2を実行しており、重要なシステムであるため、ウイルス対策ソフトはおそらくインストールされていないでしょう。」

同氏は、カスタムペイロードの実行、シェルの確立、ネットワーク内での横方向のピボットなどはすべて可能だと述べた。

アーベン氏は、過去12ヶ月間に大手医療機器メーカーに報告した数十件の脆弱性を詳細に調査しました。これらの脆弱性を悪用すれば、悪質な人物が重要な医療機器やサポートシステムにリモートで管理者権限でアクセスできてしまう可能性があります。

GEパスワード

GE 医療機器で最も一般的なこれらのパスワードでは、85 パーセントの確率でログイン アクセスが許可されると Erven 氏は言います。

これには、今年報告されたGE医療機器の脆弱性30件が含まれており、いずれも最大深刻度10と評価されています。一部の脆弱性では、核医学画像診断システムや心臓病システムへのTelnetおよびFTP経由のリモートルートアクセスが可能でした。また、パスワードがハードコードされていたり、パスワードが設定されていなかったりする脆弱性もあり、その中には一般的なデフォルトパスワード「bigguy」も含まれていました。

旧キットの修正済み欠陥が新型機器で再び発生しており、市場投入までの時間が長いため、修正に何年もかかる可能性のある製品からバグを完全に除去できていないメーカーの失敗が露呈した。彼は100台以上の医療機器の認証情報を列挙した。

アーベン氏は、バグ修正やセキュリティコミュニティとのやり取りに関して、GE は最も進歩的な医療機器メーカーの 1 つであると述べた。

実証済みの攻撃

警備員らは、病院の無防備な機器に仕掛けられた「現実世界」のMRI装置や除細動器が、インターネット上の悪意ある者から何万件ものログイン試行を引き起こしたことを受けて、その危険性を実演した。

実際の機器を模倣して作られたマシンは、合計でなんと 55,416 件の SSH および Web ログインに成功し、約 299 件のマルウェア ペイロードを検出しました。

攻撃者はまた、古い Conficker ワームによって利用されたリモート コード実行の脆弱性である MS08-067 を 24 回も悪用してデバイスを攻撃しました。

コラオ氏は、襲撃者たちは破壊した機械が重要な医療機器になるはずだったことに気づいていなかったようだと述べた。

「彼らは侵入し、いくつかの列挙を行い、永続化のためにペイロードを投下し、コマンド&コントロールサーバーに接続する」とコラオ氏は述べた。

「所有している医療機器がC2(コマンド&コントロールサーバー)にコールバックしており、そこに何があるか知らない攻撃者が存在すると推測できます。

「多くの病院がWiFiに対応し、難解なプロトコルをサポートしなくなったため、こうしたデバイスが繰り返し使用されるようになっています。」

ハニーポットは約6ヶ月間稼働し、セキュリティ上の脆弱性を「完璧に」備えたデバイスを模倣しました。2人はShodanを使用して、ハニーポットのベースとなるデバイスを探しました。

2人はまた、偽のハッキングデータと医療機器の認証情報をPastebinに投稿し、偽のTwitterハッカーアカウントを使用して、この分野に関心を持つ潜在的な攻撃者に警告しました。®

Macos

Smart Recommendations

Discover More