Kritische Fehler im Defibrillator-Verwaltungstool stellen ein Risiko für Kontenübernahme und Zugangsberechtigung für Krankenhäuser dar

Cyber Security News

Eine Krankenschwester kümmert sich um einen Patienten auf der Intensivstation im Regional Medical Center am 21. Mai 2020 in San Jose, Kalifornien. (Foto: Justin Sullivan/Getty Images)

Mehrere Schwachstellen in der Remotecodeausführung, die im ZOLL Defibrillator Dashboard gefunden wurden, könnten es einem Hacker ermöglichen, die Kontrolle über das betroffene System zu übernehmen, so eine Warnung der Department of Homeland Security Cybersecurity and Infrastructure Security Agency.

Das Dashboard ist für die biomedizintechnischen Abteilungen im Krankenhausumfeld konzipiert. Das Tool bietet eine optimierte Verwaltung von Defibrillatoren und ermöglicht den Administratoren eine Echtzeitüberwachung der Geräte in der Unternehmensumgebung und über mehrere Standorte hinweg.

Das halbe Dutzend Schwachstellen sind in allen Versionen des Dashboards vor 2.2 zu finden. Ein Angreifer könnte sich damit Zugang zu Anmeldedaten verschaffen oder die Vertraulichkeit, Integrität und Verfügbarkeit der Anwendung beeinträchtigen.

Eine Schwachstelle, vor der die CISA gewarnt hat und die mit hoher Wahrscheinlichkeit ausgenutzt werden kann, ist die Verwendung von fest kodierten kryptografischen Schlüsseln durch das Dashboard, die “die Möglichkeit, dass verschlüsselte Daten von einem Angreifer wiederhergestellt werden können, erheblich erhöht”.

“Wenn hart kodierte kryptografische Schlüssel verwendet werden, ist es fast sicher, dass böswillige Benutzer über das betreffende Konto Zugriff erhalten”, heißt es in der Warnung. “Der kryptografische Schlüssel befindet sich in einem hart kodierten String-Wert, der mit dem Passwort verglichen wird. Es ist wahrscheinlich, dass ein Angreifer in der Lage ist, den Schlüssel zu lesen und das System zu kompromittieren.”

“Der Hauptunterschied zwischen der Verwendung von hart kodierten Passwörtern und der Verwendung von hart kodierten kryptografischen Schlüsseln ist das falsche Gefühl der Sicherheit, das Ersteres vermittelt”, fügte es hinzu.

Während es viele gibt, die glauben, dass das Hashing von hart kodierten Passwörtern vor der Speicherung die Daten vor Angreifern schützt, erklärten die Forscher, dass viele Hashes reversibel oder anfällig für Brute-Force-Angriffe sind.

Außerdem fragen viele Authentifizierungsprotokolle einfach den Hash selbst ab, “was ihn nicht besser als ein Passwort macht.”

Wenn ein Angreifer Zugriff auf das System erhält, könnte er aufgrund einer anderen Schwachstelle, die Systemdaten im Klartext speichert, sensible Informationen lesen. Der Fehler behält auch die Konto-ID in einem Browser-Cookie im Klartext bei, was das Risiko einer Gefährdung erhöht, wenn ein Gerät kompromittiert wird.

In der Warnung wird davor gewarnt, dass ein Angreifer, selbst wenn das Gerät nicht kompromittiert ist, das Cookie aus der Ferne kopieren könnte, indem er die Schwachstelle mit einem Cross-Site-Scripting-Fehler kombiniert. Das Dashboard verschlüsselt außerdem keine Daten, bevor es sie in einen Puffer schreibt, was dazu führen kann, dass Daten für Unbefugte zugänglich sind.

Das Dashboard hat mehrere andere Schwachstellen mit hoher Ausnutzungswahrscheinlichkeit, einschließlich der Speicherung von Passwörtern in einem wiederherstellbaren Format und der unsachgemäßen oder fehlerhaften Neutralisierung von durch den Benutzer kontrollierbaren Eingaben, bevor diese in eine Webseitenausgabe eingefügt werden, die anderen Benutzern dienen soll.

In der Zwischenzeit versäumt es die Software, Benutzerrechte ordnungsgemäß zuzuweisen, zu ändern, zu verfolgen oder zu überprüfen, was “eine unbeabsichtigte Kontrollsphäre schafft.” Ein weiterer Fehler könnte es einem Angreifer ermöglichen, Dateien gefährlichen Typs hochzuladen und zu übertragen, die die Plattform dann automatisch in ihrer Umgebung verarbeitet.

Die CISA bittet alle betroffenen Administratoren dringend, das Medical Advisory zu lesen und die empfohlenen Abhilfemaßnahmen anzuwenden, einschließlich der Aktualisierung der Software auf die neueste Version.

Zoll empfiehlt, dass Einrichtungen, die betroffene Versionen verwenden, sich darüber im Klaren sein sollten, dass das Defibrillatorgerät als Quelle für genaue Daten betrachtet werden sollte, wenn eine Diskrepanz innerhalb des Dashboards auftritt.

Darüber hinaus sollten Administratoren häufige Überprüfungen durchführen, um die Bereitschaft des Geräts zu bestätigen, wie im Benutzerhandbuch beschrieben. Die Funktion zur automatischen Vervollständigung des Passworts sollte in den Browsern, die für den Zugriff auf das Defibrillator-Dashboard verwendet werden, deaktiviert werden.

Die CISA gab auch mehrere Empfehlungen heraus und betonte, dass Administratoren defensive Maßnahmen ergreifen sollten, um das Risiko von Geräteschwachstellen zu reduzieren, wie z. B. die Minimierung der Netzwerkexposition, die Sicherstellung, dass Geräte nicht vom Internet aus zugänglich sind, und die Aufbewahrung von Remote-Geräten hinter Firewalls.

Im Gesundheitswesen, wo die Patch-Verwaltung für die meisten Anbieter weiterhin eine Herausforderung darstellt, sollten Administratoren die NIST-Anleitung zu Angriffen auf die Datenintegrität nutzen. Die Erkenntnisse sind zwar nicht spezifisch für Patching-Prozesse, unterstützen aber eine erhöhte Netzwerktransparenz, um Bedrohungen zu identifizieren und gefährdete Anlagen durch Netzwerksegmentierung und andere Abschwächungsfaktoren zu schützen.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com