Posté le mars 9, 2022 à 9:24
DES CHERCHEURS AVERTISSENT QUE PLUS DE 100 000 POMPES À PERFUSION SONT VULNÉRABLES AUX CYBERATTAQUES
Des chercheurs en sécurité de Palo Alto Networks ont découvert que plus de 100 000 pompes à perfusion sont vulnérables aux cyberattaques. L’équipe de recherche est arrivée à cette conclusion après avoir examiné plus de 200 000 pompes à perfusion sur les réseaux de plusieurs organismes de santé.
Les chercheurs ont noté que les pompes à perfusion sont exposées à deux vulnérabilités connues qui ont été divulguées en 2019. Une faille a un score de gravité «élevé» tandis que l’autre a un score de gravité «critique».
Les vulnérabilités ont un degré de gravité élevé
Les résultats montrent que des dizaines de milliers d’appareils sont menacés par au moins six bugs critiques avec une note de 9,8 sur 10.
La faille de gravité critique la plus persistante découverte est une vulnérabilité de corruption de mémoire dans le système d’exploitation en temps réel (RTOS) VxWorks nommée CVE-2019-12255. Il est utilisé pour les dispositifs embarqués tels que les systèmes de pompes à perfusion.
CVE-2019-12255 fait partie d’un groupe de bugs connus sous le nom de « URGENT/11 », qui ont été découverts et analysés par des chercheurs d’Armis en 2019. Bien que la société qui maintient le RTOS VxWorks, Wind River, ait abordé les vulnérabilités la même année, des retards importants ont été enregistrés dans l’application des mises à jour. Par conséquent, elles sont devenues un problème pour la sécurité continue des appareils. Les autres failles de gravité critique affectent les produits de Baxter International, un fournisseur d’équipements médicaux américain. Les vulnérabilités ont été signalées en 2020 et les correctifs ont également été fournis. «Un pourcentage alarmant de 75 % des pompes à perfusion scannées présentait des failles de sécurité connues», ont déclaré les chercheurs, ajoutant que cela expose les appareils à des risques élevés de compromission par des acteurs de la menace.
Les risques comprennent une plus grande exposition à plus d’une quarantaine de failles connues, ce qui peut même conduire à une plus grande exposition aux vulnérabilités.
Des hackers pourraient contrôler la pompe à perfusion
Aveek Das, le chercheur qui a réalisé l’étude, a déclaré que des hackers pourraient essayer d’exploiter certains des bugs pour détourner les fonctions de la pompe, notamment le dosage des médicaments.
Il a ajouté que les problèmes découverts par l’équipe de recherche ne sont que la «pointe de l’iceberg», notant que d’autres appareils connectés dans les hôpitaux pourraient également présenter des problèmes similaires. Les chercheurs ont précisé que le fait de se concentrer sur les pompes à perfusion ne signifie pas que d’autres appareils sont moins susceptibles de présenter des vulnérabilités. Selon Dan, si les chercheurs se concentrent sur les pompes à fusion, c’est parce qu’elles représentent 44 % de tous les appareils médicaux et qu’elles constituent le type d’appareil connecté le plus populaire dans le domaine des soins de santé.
Il y a des milliers d’appareils connectés dans la plupart des grands systèmes hospitaliers, car ces appareils les aident à se déplacer facilement et à accélérer le traitement des urgences médicales. Comme il existe probablement des milliers de pompes à perfusion dans les grandes organisations de soins de santé, il est difficile pour les équipes de sécurité d’identifier celle qui est sûre et celle qui doit être remplacée.
Les chercheurs ont souligné que les failles les plus courantes qu’ils ont observées dans les systèmes de perfusion peuvent être classées en plusieurs catégories en fonction de l’impact qu’elles peuvent avoir. Il s’agit notamment du débordement, de l’accès non autorisé et de la fuite d’informations sensibles.
D’autres failles proviennent des paquets IP/TCP de tiers, mais peuvent également avoir un impact considérable sur les appareils et leurs systèmes d’exploitation, selon les chercheurs.
Certains de ces bugs peuvent être exploités facilement
Les chercheurs ont également noté que, d’après leurs observations, les vulnérabilités d’un grand nombre de systèmes de pompes à perfusion sont liées à des fuites d’informations sensibles. Les appareils exposés à ce type de problème peuvent laisser échapper des informations d’identification de configuration réseau, des données spécifiques aux patients ou des informations opérationnelles.
Cependant, les acteurs malveillants qui exploiteront les failles auront besoin de différents niveaux d’accès. Par exemple, le bug CVE-2020-12040 peut être exploité par une attaque de type «man-in-the-middle» pour accéder à toutes les communications entre un serveur et sa pompe à perfusion.
Mais les vulnérabilités comme CVE-2016-8375 et CVE-2016-9355 peuvent être exploitées par une personne ayant un accès physique à un dispositif de perfusion, ce qui peut lui permettre d’avoir accès à des informations sensibles.
Par conséquent, les attaques par le biais de ces deux bugs sont moins probables par rapport à la vulnérabilité CVE-2020-12040. Toutefois, les attaquants ayant la motivation et les compétences techniques requises peuvent toujours réussir à pénétrer dans les dispositifs par le biais de l’un de ces bugs.
Outre ces vulnérabilités, d’autres peuvent permettre aux acteurs de la menace d’envoyer du trafic à certains réseaux selon un schéma particulier. Les appareils peuvent ainsi fonctionner d’une manière particulière ou ne plus répondre.
Les chercheurs ont averti que ces bugs peuvent avoir plusieurs conséquences néfastes, telles que la perturbation des soins aux patients et du fonctionnement des hôpitaux. Par conséquent, les utilisateurs doivent s’efforcer d’appliquer la mise à jour des correctifs fournis par les fabricants dès que possible.
