Investigadores de seguridad han revelado casi una docena de fallos de seguridad que afectan a la familia de productos de ultrasonido Vivid de GE HealthCare, los cuales podrían ser explotados por actores malintencionados para manipular datos de pacientes e incluso instalar ransomware en ciertas circunstancias.
Según un informe técnico del proveedor de seguridad de tecnología operativa (OT), Nozomi Networks, las repercusiones de estas vulnerabilidades son múltiples: desde la implantación de ransomware en la máquina de ultrasonido hasta el acceso y la manipulación de datos de pacientes almacenados en los dispositivos vulnerables.
Los problemas de seguridad afectan al sistema de ultrasonido Vivid T9 y a su aplicación web preinstalada Common Service Desktop, que está expuesta en la interfaz localhost del dispositivo y permite a los usuarios realizar acciones administrativas. También afectan a otro programa de software llamado EchoPAC, que se instala en la estación de trabajo con Windows del médico para ayudarle a acceder a imágenes de eco, vasculares y abdominales en múltiples dimensiones.
Dicho esto, la explotación exitosa de estas fallas requiere que un actor de amenazas primero obtenga acceso al entorno del hospital e interactúe físicamente con el dispositivo, después de lo cual pueden ser explotadas para lograr la ejecución de código arbitrario con privilegios administrativos.
En un escenario de ataque hipotético, un actor malintencionado podría bloquear los sistemas Vivid T9 implantando un ransomware y también exfiltrar o manipular datos de pacientes.
La vulnerabilidad más grave es CVE-2024-27107 (puntuación CVSS: 9.6), que se refiere al uso de credenciales codificadas. Otros defectos identificados están relacionados con la inyección de comandos (CVE-2024-1628), la ejecución con privilegios innecesarios (CVE-2024-27110 y CVE-2020-6977), el recorrido de ruta (CVE-2024-1630 y CVE-2024-1629), y la falla del mecanismo de protección (CVE-2020-6977).
La cadena de exploits diseñada por Nozomi Networks aprovecha CVE-2020-6977 para obtener acceso local al dispositivo y luego utiliza CVE-2024-1628 para lograr la ejecución de código.
“Sin embargo, para acelerar el proceso, […] un atacante también podría abusar del puerto USB expuesto y conectar una unidad USB maliciosa que, al emular el teclado y el ratón, realiza automáticamente todos los pasos necesarios a una velocidad superior a la humana”, dijo la compañía.
Alternativamente, un adversario podría obtener acceso a la red interna del hospital utilizando credenciales VPN robadas mediante otros medios (por ejemplo, phishing o fuga de datos), escanear instalaciones vulnerables de EchoPAC y luego explotar CVE-2024-27107 para obtener acceso sin restricciones a la base de datos de pacientes, comprometiendo efectivamente su confidencialidad, integridad y disponibilidad.
GE HealthCare, en un conjunto de avisos, afirmó que “las mitigaciones y controles existentes” reducen los riesgos planteados por estas vulnerabilidades a niveles aceptables.
“En el improbable caso de que un actor malintencionado con acceso físico pudiera dejar el dispositivo inutilizable, habría indicadores claros de esto para el usuario previsto del dispositivo”, señaló. “La vulnerabilidad solo puede ser explotada por alguien con acceso físico directo al dispositivo.”
La divulgación se produce semanas después de que se descubrieran fallos de seguridad en el Merge DICOM Toolkit para Windows (CVE-2024-23912, CVE-2024-23913 y CVE-2024-23914) que podrían usarse para provocar una condición de denegación de servicio (DoS) en el servicio DICOM. Los problemas se han abordado en la versión v5.18 de la biblioteca.
También sigue al descubrimiento de una vulnerabilidad de seguridad de máxima severidad en el producto Siemens SIMATIC Energy Manager (EnMPro) (CVE-2022-23450, puntuación CVSS: 10.0) que podría ser explotada por un atacante remoto para ejecutar código arbitrario con privilegios de SISTEMA al enviar objetos maliciosamente diseñados.
“Un atacante que explote exitosamente esta vulnerabilidad podría ejecutar código de forma remota y tomar el control total de un servidor EnMPro”, dijo el investigador de seguridad de Claroty, Noam Moshe.
Se recomienda encarecidamente a los usuarios actualizar a la versión V7.3 Update 1 o posterior, ya que todas las versiones anteriores contienen la vulnerabilidad de deserialización insegura.
Debilidades de seguridad también han sido descubiertas en la plataforma ThroughTek Kalay integrada en dispositivos del Internet de las Cosas (IoT) (desde CVE-2023-6321 hasta CVE-2023-6324) que permiten a un atacante escalar privilegios, ejecutar comandos como root y establecer una conexión con un dispositivo víctima.
“Cuando se encadenan juntas, estas vulnerabilidades facilitan el acceso root no autorizado desde la red local, así como la ejecución de código remoto para subvertir completamente el dispositivo de la víctima”, dijo la empresa de ciberseguridad rumana Bitdefender. “La ejecución de código remoto solo es posible después de que el dispositivo haya sido sondeado desde la red local.”
Las vulnerabilidades, parcheadas en abril de 2024 tras una divulgación responsable en octubre de 2023, han afectado monitores de bebés y cámaras de seguridad interiores de fabricantes como Owlet, Roku y Wyze, permitiendo a los actores de amenazas encadenarlas para ejecutar comandos arbitrarios en los dispositivos.
“Las ramificaciones de estas vulnerabilidades se extienden mucho más allá del ámbito de los exploits teóricos, ya que impactan directamente en la privacidad y seguridad de los usuarios que dependen de dispositivos alimentados por ThroughTek Kalay”, agregó la compañía.
