CISA выпускает рекомендации об уязвимостях программного обеспечения Siemens

На этой неделе Агентство по кибербезопасности и безопасности инфраструктуры США выпустило уведомление о критических уязвимостях программного обеспечения, используемого в медицинских устройствах.

Как указано в сообщении в блоге Forescout Research Labs , набор из 13 новых уязвимостей затрагивает стек Nucleus TCP / IP компании Siemens.

Эти недостатки потенциально допускают удаленное выполнение кода, отказ в обслуживании и утечку информации.

«CISA рекомендует пользователям принимать защитные меры, чтобы минимизировать риск использования этих уязвимостей», – говорится в предупреждении. «CISA напоминает организациям, что необходимо провести надлежащий анализ воздействия и оценку рисков перед развертыванием защитных мер».

Компания Siemens не ответила на запрос о комментарии к моменту публикации.

ПОЧЕМУ ЭТО ВАЖНО

Команда Forescout, которая первоначально идентифицировала уязвимости с помощью службы поддержки Medigate Labs, сказала, что «общеизвестно, что сложно» понять, где может находиться код.

Тем не менее, им удалось найти 2233 уязвимых устройства под управлением Nucleus, приобретенного Siemens в 2017 году, в сфере здравоохранения.

Затронутые устройства включают наркозные аппараты, мониторы пациента и другие устройства, которые Forescout описывает как «критически важные для безопасности».

По словам Forescout, уязвимости различаются по степени серьезности, причем наиболее серьезным из них присвоен рейтинг CVSS 9,8 из 10. Эта конкретная уязвимость может привести к отказу в обслуживании и удаленному выполнению кода.

Как отмечает CNN в своем репортаже об этом отчете, исследователи Forescout смогли использовать одну уязвимость, чтобы взять систему автоматизации здания, используемую в больницах, для выключения света и системы отопления, вентиляции и кондиционирования воздуха в имитационной палате пациента.

По данным CISA, известных публичных эксплойтов, специально нацеленных на эти уязвимости, не существует. Компания Siemens выпустила исправления для всех из них.

«Полная защита от NUCLEUS: 13 требует установки исправлений на устройствах с уязвимыми версиями Nucleus», – сказал Forescout.

Forescout рекомендовал сетевым операторам стратегию смягчения последствий для устранения недостатков, особенно с учетом того, что исправление встроенных устройств может быть затруднено:

Обнаружение и инвентаризация устройств, на которых работает Nucleus.
Обеспечьте контроль сегментации и надлежащую гигиену сети.
Отслеживайте прогрессивные исправления, выпускаемые поставщиками затронутых устройств, и разрабатывайте план исправления для инвентаризации уязвимых активов.
Контролируйте весь сетевой трафик на предмет вредоносных пакетов, которые пытаются использовать известные уязвимости или возможные нулевые дни.
Несколько крупных производителей устройств опубликовали заявления по поводу отчета, в том числе Cisco, GE Healthcare и Philips.

«В рамках политики и протоколов безопасности продуктов компании Philips группы Philips оценивают продукты и решения Philips, использующие уязвимые продукты Siemens, на предмет потенциального воздействия этих обнаруженных уязвимостей и проверяют действия», – говорится в сообщении компании по безопасности .

«В настоящее время не известно, что это повлияет на продукцию Philips», – продолжил он.

БОЛЬШОЙ ТЕНДЕНЦИЯ

Безопасность медицинских устройств приобрела повышенное значение в условиях пандемии COVID-19, когда удаленный мониторинг пациентов и телездравоохранение расширили конечные точки сети больниц.

Ранее в этом году Сюзанна Шварц из Управления по санитарному надзору за качеством пищевых продуктов и медикаментов США сообщила Healthcare IT News, что кибербезопасность устройств требует подхода « всего сообщества ».

«Это область совместной собственности и совместной ответственности», – сказала она. «Нет ни одного субъекта, ни одной заинтересованной стороны, которая могла бы решить эти действительно большие проблемы в одиночку».

«Это должно происходить через партнерство через сотрудничество, через признание того, что у всех нас разные роли, разные виды опыта, разные обязанности», – добавила она.

В ЗАПИСИ

«Организации, наблюдающие за любой предполагаемой вредоносной деятельностью, должны следовать установленным внутренним процедурам и сообщать о своих выводах в CISA для отслеживания и сопоставления с другими инцидентами», – говорится в сообщении CISA.

NPROSPEKT.RU