Soins de santé spécialisés les appareils, des outils d’imagerie comme les tomodensitomètres aux équipements de laboratoire de diagnostic, sont souvent insuffisamment protégés sur les réseaux hospitaliers. Désormais, de nouvelles découvertes sur sept vulnérabilités dans un outil de gestion à distance de l’Internet des objets soulignent les expositions interconnectées dans les dispositifs médicaux et l’écosystème IoT plus large.
Des chercheurs de la société de sécurité des soins de santé CyberMDX, qui a été acquise le mois dernier par la société de sécurité IoT Forescout, ont trouvé sept vulnérabilités facilement exploitables, collectivement baptisées Access:7, dans l’outil d’accès à distance IoT PTC Axeda. La plate-forme peut être utilisée avec n’importe quel appareil embarqué, mais s’est avérée particulièrement populaire dans les équipements médicaux. Les chercheurs ont également découvert que certaines entreprises l’utilisaient pour gérer à distance des guichets automatiques, des distributeurs automatiques, des systèmes de lecture de codes-barres et certains équipements de fabrication industrielle. Les chercheurs estiment que les vulnérabilités Access:7 se trouvent dans des centaines de milliers d’appareils en tout. Lors d’un examen de ses propres clients, Forescout a découvert plus de 2 000 systèmes vulnérables.
“Vous pouvez imaginer le type d’impact qu’un attaquant pourrait avoir lorsqu’il peut exfiltrer des données d’équipements médicaux ou d’autres appareils sensibles, potentiellement falsifier les résultats de laboratoire, rendre des appareils critiques indisponibles ou les prendre entièrement en charge”, déclare Daniel dos Santos, responsable de la recherche en sécurité chez Forescout.
Certaines des vulnérabilités sont liées à des problèmes de traitement des commandes non documentées et non authentifiées par Axeda, permettant aux attaquants de manipuler la plate-forme. D’autres concernent des problèmes de configuration par défaut, comme les mots de passe système codés en dur et devinables partagés par plusieurs utilisateurs Axeda. Trois des sept vulnérabilités sont considérées comme critiques et les quatre autres sont des bogues de gravité moyenne à élevée.
Les attaquants pourraient potentiellement exploiter les bogues pour saisir les données des patients, modifier les résultats des tests ou d’autres dossiers médicaux, lancer des attaques par déni de service qui pourraient empêcher les prestataires de soins de santé d’accéder aux données des patients lorsqu’ils en ont besoin, perturber les systèmes de contrôle industriels ou même prendre pied pour attaquer les guichets automatiques.
Les vulnérabilités ne sont pas nécessairement rares dans cet espace, mais elles seraient particulièrement faciles à exploiter pour un attaquant. S’ils sont exploités, les dommages potentiels des bogues Access:7 pourraient être comparables à ceux d’une récente vague d’attaques de ransomwares, qui provenaient toutes de pirates exploitant les failles du logiciel de gestion informatique d’une société appelée Kaseya. Les produits sont différents, mais leur omniprésence crée des conditions similaires pour les attaques perturbatrices. Et Access:7 s’intègre dans un tableau plus large de l’insécurité IoT invétérée et des vulnérabilités historiques non résolues.
Les chercheurs ont travaillé sur une divulgation coordonnée avec PTC, qui a publié des correctifs pour les failles, ainsi qu’avec l’agence américaine de cybersécurité et de sécurité des infrastructures, H-ISAC et la Food and Drug Administration.
“Cette divulgation est l’aboutissement d’un effort de coopération entre PTC, CyberMDX et CISA”, a déclaré PTC à WIRED dans un communiqué. « PTC et CyberMDX ont collaboré pour enquêter en profondeur et mettre en œuvre les corrections appropriées pour les vulnérabilités. PTC a ensuite informé les clients et guidé leurs résolutions avant la divulgation. … Le résultat est une plus grande sensibilisation des utilisateurs et la possibilité de résoudre une menace potentielle pour leurs systèmes et leurs données.