Siemens en DHS waarschuwen voor eenvoudige exploits medische scanners

Het Amerikaanse Department of Homeland Security en fabrikant Siemens waarschuwen voor eenvoudige exploits van bepaalde medische apparaten. De systemen werken met Windows 7 en zijn kwetsbaar voor openbaar beschikbare exploits. Hiermee kan een aanvaller van afstand code uit te voeren. Daarmee kunnen ze de systemen mogelijk beschadigen of de veiligheid ervan in gevaar brengen.

“Een weinig vaardige aanvaller kan deze kwetsbaarheden uitbuiten,” waarschuwt het Industrial Control System Computer Emergency Reponse Team (ICS-CERT) van Homeland Security. Siemens is het daarmee eens, want het gaf op 26 juli een consumer alert vrij, waarin het waarschuwt dat het om een kritische kwetsbaarheid gaat. Op basis van het Common Vulnerability Scoring System krijgt de kwetsbaarheid een 9,8 van de 10.

Onder de kwetsbare systemen bevinden zich de Siemens PET/CT, SPECT/CT en SPECT-scanners, evenals de medical imaging workflow systems die draaien op Windows 7. Op zichzelf staande CT-scanners zijn niet kwetsbaar.

Een van de kwetsbaarheden bevindt zich in het ingebouwde Windows Web server dat op de systemen draait. “An unauthenticated remote attacker could execute arbitrary code by sending specially crafted HTTP requests to the Microsoft Web server (port 80/tcp and port 443/tcp) of affected devices,” waarschuwt Siemens. Binnen deze bug kunnen kwaadwillenden van een afstand code uitvoeren op de apparaten.

De drie andere kwetsbaarheden hebben betrekking tot de HP Client Automation Service software. Deze staan hackers eveneens toe code uit te voeren door een bug in de geheugenbuffer te gebruiken. Een aanvaller kan dan de privileges op het systeem aanpassen en zichzelf toegang geven tot bepaalde instellingen.

Updates

Siemens bereidt al updates voor om de kwetsbare systemen aan te pakken. Ondertussen wordt klanten aangeraden de getroffen systemen te isoleren op hun netwerken of ze in standalone modus te draaien. Ze mogen wat het bedrijf betreft pas aan een netwerk gekoppeld worden als er een patch wordt uitgebracht.

Ook het ICS-CERT waarschuwt dat de systemen voorlopig niet met het internet verbonden zouden moeten zijn. Mocht dat wel nodig zijn, wordt aangeraden ze achter een firewall te plaatsen of ze te isoleren van een zakelijk netwerk. Tegelijk is het de vraag of ziekenhuizen – in onder meer de Verenigde Staten – dat wel kunnen. Uit een onderzoek bleek dat de overgrote meerderheid van Amerikaanse ziekenhuizen niet beschikt over een goed veiligheidsteam.

Wereldwijd is de beveiliging van netwerken natuurlijk een groot probleem, zoals de problemen van Petya en WannaCry al aantoonden. Netwerken worden simpelweg niet geüpdatet en dat leidt tot dit soort kwesties.