Исследователи Nozomi Networks обнаружули набор из 11 уязвимост | SecAtor
Исследователи Nozomi Networks обнаружули набор из 11 уязвимостей, затрагивающих линейку УЗИ-аппаратов GE HealthCare Vivid Ultrasound, которые могут быть использованы для подделки данных пациентов и даже внедрения ransomware.
Проблемы ультразвуковую систему Vivid T9 и ее предустановленное приложение Common Service Desktop, которое отображается в локальном интерфейсе устройства и позволяет пользователям выполнять административные действия.
Также ошибкам подвержена другая ПО под названием EchoPAC, установленную на рабочей станции врача под управлением Windows и реализующая доступ к многомерным эхо-изображениям, изображениям УЗИ сосудов и брюшной полости.
При этом для успешной эксплуатации злоумышленнику необходимо прежде получить доступ к больничной среде и обеспечить возможность физического взаимодействия с устройством.
Самая серьезная из уязвимостей, CVE-2024-27107 (оценка CVSS: 9,6) связана с использованием жестко закодированных учетных данных.
Другие выявленные недостатки относятся к внедрению команд (CVE-2024-1628), выполнению с излишними привилегиями (CVE-2024-27110 и CVE-2020-6977), обходу пути (CVE-2024-1630 и CVE-2024-1629) и сбою механизма защиты (CVE-2020-6977).
Разработанная Nozomi Networks цепочка эксплойтов задействует CVE-2020-6977 для получения локального доступа к устройству, а затем CVE-2024-1628 - для RCE.
Однако, чтобы ускорить процесс, злоумышленник может также воспользоваться USB-портом для подключения вредоносной флэшки, которая, эмулируя клавиатуру и мышь, автоматически выполнит все необходимые действия в автомате.
В качестве альтернативы злоумышленник может получить доступ к внутренней сети больницы, используя угнанный VPN, сосканить уязвимые EchoPAC, а затем обратиться к CVE-2024-27107 для получения беспрепятственного доступа к базе данных пациентов.
В самом нереалистичным сценарии злоумышленник с физическим доступом может просто окирпичить устройство.
Владельцы устройств могут найти все официальные обновления и меры по устранению уязвимостей для затронутых конфигураций на портале безопасности GE HealthCare.