Los investigadores han identificado nueve vulnerabilidades críticas en el sistema de tubos neumáticos (PTS) utilizado por el 80% de los hospitales en América del Norte y 3.000 hospitales en todo el mundo, lo que los pone en mayor riesgo de ataques de ransomware.
Las vulnerabilidades, descubiertas en Translogic PTS de Swisslog Healthcare por investigadores de la plataforma de seguridad Armis, se encontraron en el Panel de control Nexus, que alimenta todos los modelos actuales de las estaciones Translogic PTS.
El sistema juega un papel crucial en la atención al paciente y se considera una infraestructura sanitaria crítica, ya que es responsable del transporte de medicamentos, productos sanguíneos, muestras de laboratorio y otros materiales a través de los hospitales a través de una red de tubos neumáticos automatizados.
Al explotar las nueve vulnerabilidades, denominadas colectivamente PwnedPiper, los atacantes podrían apoderarse de las estaciones de PTS y obtener el control total sobre la red de metro de un hospital objetivo, lo que a su vez les permitiría lanzar ataques de ransomware mediante la redirección deliberada de materiales para interrumpir el flujo de trabajo de un hospital. o incluso detener el funcionamiento del sistema por completo.
Debido a que el PTS conectado a la red se integra con otros sistemas hospitalarios, una brecha también podría permitir que la información compartida entre estos sistemas sea filtrada o manipulada por un atacante.
Todas las vulnerabilidades, que incluyen cuatro errores de corrupción de memoria, un socket de interfaz gráfica de usuario (GUI) defectuoso y contraseñas codificadas que son accesibles, pueden activarse enviando paquetes de red no autenticados, sin ninguna interacción del usuario.
La vulnerabilidad más grave, según Armis, es una falla de diseño en la que las actualizaciones de firmware en el Panel de control de Nexus no están encriptadas, no están autenticadas y no requieren ninguna firma criptográfica, lo que permite a un atacante obtener la ejecución de código remoto no autenticado iniciando un procedimiento de actualización de firmware mientras manteniendo la persistencia en el dispositivo.
“Armis reveló las vulnerabilidades a Swisslog el 1 de mayo de 2021 y ha estado trabajando con el fabricante para probar el parche disponible y garantizar que se proporcionen las medidas de seguridad adecuadas a los clientes”, dijo Ben Seri, vicepresidente de investigación de Armis, quien dirige el equipo que descubrió las vulnerabilidades.
“Con tantos hospitales que dependen de esta tecnología, hemos trabajado diligentemente para abordar estas vulnerabilidades y aumentar la resiliencia cibernética en estos entornos de atención médica donde hay vidas en juego”.
En un comunicado sobre el descubrimiento de las vulnerabilidades, Swisslog dijo que inmediatamente comenzó a colaborar con Armis tanto en la mitigación a corto plazo como en las soluciones a largo plazo.
“Se ha desarrollado una actualización de software para todas las vulnerabilidades menos una, y los clientes tienen a su disposición estrategias de mitigación específicas para la vulnerabilidad restante. Swisslog Healthcare ya ha comenzado a implementar estas soluciones y continuará trabajando con sus clientes y las instalaciones afectadas ”, dijo.
“Continuaremos manteniendo la seguridad como una prioridad de primer nivel para colaborar con nuestros clientes en la tecnología operativa dentro del hospital”.
En un aviso de seguridad publicado por Swisslog, la firma describió los pasos que había tomado con Armis para abordar las vulnerabilidades, que incluían evaluar el firmware para evaluar completamente las implicaciones, replicar las vulnerabilidades en un entorno de laboratorio de pruebas e iniciar el contacto con el cliente para brindar soporte al hospital. equipos de seguridad a medida que implementan estrategias de mitigación.
La vulnerabilidad aún no resuelta es la posibilidad de una actualización de firmware no autenticada, que según Armis es la más grave. Sin embargo, se espera que sea parcheado en una versión futura.
A pesar de la prevalencia de PTS conectados a Internet y la dependencia de los hospitales de ellos para brindar atención, Armis afirma que la seguridad de estos sistemas nunca se ha analizado o investigado a fondo.
“Esta investigación arroja luz sobre los sistemas que están ocultos a la vista, pero que, sin embargo, son un elemento fundamental para la atención médica moderna”, dijo Nadir Izrael, cofundador y director de tecnología de Armis. “Entender que la atención al paciente depende no solo de los dispositivos médicos, sino también de la infraestructura operativa de un hospital, es un hito importante para proteger los entornos sanitarios”.
Armis ha enumerado una serie de pasos de mitigación en una publicación de blog sobre su investigación Translogic PTS, que incluye la implementación de listas de control de acceso y el uso de reglas específicas del sistema de detección de intrusiones (IDS) Snort para descubrir intentos de explotación.
“Aparte de estos pasos específicos, fortalecer el acceso a sistemas sensibles como las soluciones PTS mediante el uso de la segmentación de la red y limitar el acceso a dichos dispositivos a través de estrictas reglas de firewall, es siempre una buena práctica que debería estar en uso”, dijo.
“Los hospitales no necesariamente tienen ninguna contingencia para manejar un cierre prolongado del sistema PTS, que en última instancia puede traducirse en daños para la atención del paciente”.