Neuf failles de sécurité relevées dans les infrastructures hospitalières essentielles

Les chercheurs ont identifié neuf vulnérabilités critiques dans le système de tubes pneumatiques (PTS) utilisé par 80% des hôpitaux en Amérique du Nord et 3,000 hôpitaux dans le monde entier, les exposant à un risque accru d’attaques de ransomware.

Les vulnérabilités – découvertes dans le TRANSLOGIC PTS de Swisslog Healthcare par des chercheurs de la plateforme de sécurité Armis – ont été trouvées dans le panneau de configuration Nexus, qui alimente tous les modèles actuels des stations Translogic PTS.

Le système joue un rôle crucial dans les soins aux patients et est considéré comme une infrastructure de soins de santé essentielle car il est responsable du transport des médicaments, des produits sanguins, des échantillons de laboratoire et d’autres matériaux dans les hôpitaux via un réseau de tubes pneumatiques automatisés.

En exploitant les neuf vulnérabilités – collectivement surnommées PwnedPiper – les attaquants seraient en mesure de prendre le contrôle des stations PTS et de prendre le contrôle total du réseau de tubes d’un hôpital cible, ce qui leur permettrait de lancer des attaques de ransomware en réacheminent délibérément les matériaux pour perturber le flux de travail d’un hôpital, ou même en arrêtant complètement le fonctionnement des systèmes.

Étant donné que le SPT connecté au réseau s’intègre à d’autres systèmes hospitaliers, une violation pourrait également permettre à un attaquant de divulguer ou de manipuler les informations partagées entre ces systèmes.

Toutes les vulnérabilités – qui incluent quatre bogues de corruption de mémoire, un socket d’interface utilisateur graphique (GUI) défectueux et des mots de passe codés en dur accessibles – peuvent être déclenchées en envoyant des paquets réseau non authentifiés, sans aucune interaction de l’utilisateur.

La vulnérabilité la plus grave, selon Armis, est un défaut de conception dans lequel les mises à niveau du firmware sur le Panneau de configuration Nexus sont non chiffrées, non authentifiées et ne nécessitent aucune signature cryptographique, permettant à un attaquant d’obtenir l’exécution de code à distance non authentifiée en lançant une procédure de mise à jour du firmware tout en maintenant la persistance sur l’appareil.

« Armis a révélé les vulnérabilités à Swisslog le 1er mai 2021 et a travaillé avec le fabricant pour tester le correctif disponible et s’assurer que des mesures de sécurité appropriées seront fournies aux clients », a déclaré Ben Seri, vice-président de la recherche d’Armis, qui dirige l’équipe qui a découvert les vulnérabilités.

« Avec tant d’hôpitaux dépendant de cette technologie, nous avons travaillé avec diligence pour remédier à ces vulnérabilités afin d’accroître la cyber-résilience dans ces environnements de soins de santé où des vies sont en jeu. »

Dans un communiqué sur la découverte des vulnérabilités, Swisslog a déclaré qu’il avait immédiatement commencé à collaborer avec Armis sur des mesures d’atténuation à court terme et des correctifs à long terme.

« Une mise à jour logicielle pour toutes les vulnérabilités sauf une a été développée, et des stratégies d’atténuation spécifiques pour la vulnérabilité restante sont disponibles pour les clients. Swisslog Healthcare a déjà commencé à déployer ces solutions et continuera à travailler avec ses clients et les établissements concernés », a-t-il déclaré.

« Nous continuerons de faire de la sécurité une priorité absolue pour collaborer avec nos clients sur la technologie opérationnelle au sein de l’hôpital. »

Dans un avis de sécurité publié par Swisslog, la société a décrit les mesures qu’elle avait prises avec Armis pour remédier aux vulnérabilités, notamment l’évaluation du firmware pour évaluer pleinement les implications, la réplication des vulnérabilités dans un environnement de laboratoire de test et l’initiation d’un contact client pour soutenir les équipes de sécurité des hôpitaux dans la mise en œuvre de stratégies d’atténuation.

La vulnérabilité non encore résolue est le potentiel d’une mise à niveau du firmware non authentifiée, qui Armis dit est le plus grave. Il devrait, cependant, être corrigé dans une version ultérieure.

Malgré la prévalence du SPT connecté à Internet et la dépendance des hôpitaux à leur égard pour fournir des soins, Armis affirme que la sécurité de ces systèmes n’a jamais été analysée ou documentée de manière approfondie.

« Cette recherche met en lumière des systèmes qui sont cachés à la vue de tous, mais qui constituent néanmoins une pierre angulaire des soins de santé modernes », a déclaré Nadir Izrael, cofondateur et directeur technique d’Armis. « Comprendre que les soins aux patients dépendent non seulement des dispositifs médicaux, mais aussi de l’infrastructure opérationnelle d’un hôpital, est une étape importante pour sécuriser les environnements de soins de santé. »

Armis a énuméré un certain nombre d’étapes d’atténuation dans un billet de blog sur sa recherche Translogic PTS, qui comprend le déploiement de listes de contrôle d’accès et l’utilisation de règles spécifiques du système de détection d’intrusion (IDS) Snort pour découvrir les tentatives d’exploitation.

« En dehors de ces étapes spécifiques, le durcissement de l’accès aux systèmes sensibles tels que les solutions PTS grâce à l’utilisation de la segmentation du réseau et la limitation de l’accès à ces périphériques grâce à des règles de pare-feu strictes sont toujours bons practice qui devrait être utilisé », a-t-il déclaré.

« Les hôpitaux n’ont pas nécessairement de contingence en place pour faire face à un arrêt prolongé du système PTS, ce qui pourrait en fin de compte se traduire par un préjudice pour les soins aux patients. »