Des identifiants de support par défaut, connues du public, mais difficilement modifiables par les utilisateurs, pourraient permettre à des pirates informatiques de compromettre plus de 100 modèles d'appareils du constructeur GE Healthcare, principalement utilisés à des fins de radiologie et d'imagerie dans les hôpitaux et autres établissements de santé. Cette implementation peu sécurisée de la fonction de gestion à distance pourrait permettre à des pirates d'accéder à des données sensibles stockées sur les appareils concernés et de les infecter avec un code malveillant qui serait très difficile à détecter. Cette année, les établissements de santé ont été particulièrement ciblées par des groupes de cybercriminels, notamment avec des ransomwares. Trois agences américaines - le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) et le Département de la Sécurité intérieure des États-Unis (Department of Homeland Security, DHS) - ont publié un avis de menace commun, pour prévenir que des groupes comme TrickBot, Ryuk et Conti représentaient un risque imminent pour les hôpitaux et les prestataires de soins de santé américains. Des vulnérabilités comme celle que l'on trouve dans les systèmes d’imagerie de GE Healthcare peuvent aggraver ces attaques en permettant aux pirates d'accéder à des appareils critiques que les établissements de santé ne peuvent pas mettre hors ligne.
Maintenance non sécurisée des appareils
Le problème est lié aux procédures de maintenance et de mise à jour à distance mises en place sur de nombreux appareils de GE Healthcare, notamment sur les appareils de tomodensitométrie (CT Scans), de tomographie par émission de positons (PET Scans), d'imagerie moléculaire, d'IRM, de mammographie, de radiographie et d'ultrasons. Selon les chercheurs de l’entreprise de sécurité IoT CyberMDX à l’origine du signalement, plus de 100 modèles d'appareils, également appelés modalités, appartenant à de nombreuses gammes de produits, sont concernés. C’est le cas notamment de dispositifs vendus sous les marques Brivo, Definium, Discovery, Innova, Optima, Odyssey, PetTrace, Precision, Seno, Revolution, Ventri et Xeleris. Les modalités d'imagerie disposent généralement d'un ordinateur intégré fonctionnant avec un système d'exploitation basé sur UNIX, plus des logiciels spécialisés fournis par le constructeur GE. Les serveurs de GE Healthcare accèdent régulièrement à ces dispositifs par le biais de divers protocoles, notamment FTP, SSH, Telnet et REXEC, pour mettre à jour les logiciels, extraire les logs, exécuter des commandes et effectuer d'autres procédures de maintenance.
« Généralement, ces services écoutent le réseau local, et GE dispose d'un tunnel à l'intérieur de ces réseaux depuis Internet, par le biais d'un VPN ou d'une autre technologie, mise en place au moment du déploiement », a expliqué Elad Luz, le responsable de la recherche de CyberMDX. « Les serveurs de GE Healthcare initient la connexion dans ces stations via le réseau de l'hôpital et toute la procédure est automatisée ». Le premier problème, c’est que le mécanisme de maintenance ne comprend aucun contrôle pour s'assurer que seuls les serveurs de GE peuvent parler à l'appareil, ce qui signifie que tout ordinateur sur le même réseau peut potentiellement accéder à ces ports. Il y a bien une étape d’authentification, mais elle se fait avec des identifiants par défaut partagés par plusieurs produits et on peut les trouver sur des forums en ligne ou dans des manuels accessibles au public. L’autre problème, c’est que les clients ne peuvent pas modifier ces identifiants eux-mêmes sans enfreindre les procédures de maintenance automatisée effectuées par GE. Cela signifie que, pour y remédier, il faut contacter l'équipe d'assistance de GE Healthcare et lui demander de modifier les informations d'identification. Une autre recommandation est de mettre en place une politique d'accès par le biais de règles de pare-feu qui n'autorisent les connexions sur ces ports qu'à partir d'adresses IP locales autorisées, comme celles des tunnels de réseau utilisés par GE Healthcare. Le problème signalé par CyberMDX au constructeur est jugé critique puisqu’il est assorti d’un score Common Vulnerability Scoring System (CVSS) de 9,8. Celui-ci a analysé toute sa gamme de produits pour identifier les appareils concernés et il prépare des correctifs. La Cybersecurity and Infrastructure Security Agency (CISA), également informée, publiera un avis aujourd'hui.
Des hypothèses de sécurité inadaptées aux menaces modernes
Cela fait de nombreuses années que les fabricants d'appareils embarqués et spécialisés utilisent couramment des identifiants codés en dur et des comptes d'assistance cachés. Ils estimaient que cette pratique ne présentait pas de risque, car ils partaient du principe que les réseaux locaux étaient fiables par défaut et qu'il est de la responsabilité des clients de les sécuriser. Évidemment, aujourd’hui, les attaquants exploitent ce choix de design dépassé et c'est la raison pour laquelle les entreprises s'orientent vers des architectures réseau zero-trust où les appareils ne sont pas implicitement considérés comme fiables en fonction de leur emplacement sur le réseau. Des groupes de hackers comme Ryuk, parmi les plus nuisibles et les plus efficaces en matière de ransomwares, sont connus pour leurs techniques de piratage manuel et leur habileté à se déplacer latéralement à l'intérieur des réseaux locaux. L'objectif de ces groupes n’est pas de compromettre quelques ordinateurs, mais l'ensemble du réseau, afin de déployer des ransomwares en une fois sur le plus grand nombre de systèmes possible, y compris les serveurs et les appareils critiques. Désormais, de nombreux cybergangs exfiltrent aussi les données sensibles des entreprises et menacent de les divulguer ou de les vendre aux enchères en ligne si les rançons ne sont pas payées. Une autre technique de plus en plus courante consiste à lancer des attaques par déni de service distribué (DDoS) contre les victimes de ransomwares afin de perturber encore plus leurs services et leur forcer la main.
Dans les établissements de santé, les dispositifs d'imagerie sont interconnectés avec de nombreux autres systèmes, notamment les serveurs d'archives et les postes de travail utilisés par le personnel médical et les radiologues. En exploitant ce défaut d’authentification, les attaquants peuvent accéder aux données sensibles des patients. En outre, comme ces dispositifs ne sont pas équipés de programmes antivirus ou d'autres solutions de sécurité au niveau des points d'accès, les attaquants peuvent les compromettre et s’en servir comme point d'ancrage permanent au sein des réseaux de ces établissements. Le personnel IT ne peut pas facilement remplacer ou réinstaller ces dispositifs après une cyberattaque, et ces appareils sont rarement vérifiés dans le cadre des procédures normales de réponse aux incidents. Perturber le fonctionnement de ces dispositifs, soit par des attaques malveillantes, soit en les inspectant et en les débarrassant de tout code malveillant, pourrait pousser les patients à se rendre dans d'autres établissements de soins.
Au début de l’année, le premier mort lié à un ransomware a été signalé en Allemagne : un patient dans un état critique a dû être transféré dans un autre hôpital parce que l’établissement le plus proche avait été fermé suite à une attaque par ransomware. Après la publication de cette histoire, un porte-parole de GE a déclaré dans un communiqué que le constructeur n’avait pas connaissance d'incidents dus à cette vulnérabilité : « Á notre connaissance, il n’y a pas eu d’accès non autorisé à des données ou d’incident ayant exploité cette vulnérabilité potentielle dans un contexte de soins. Nous avons procédé à une évaluation complète des risques et conclu qu'il n'y avait pas de problème de sécurité pour les patients. Le maintien de la sûreté, de la qualité et de la sécurité de nos appareils est notre priorité absolue ». Pour Elad Luz, le responsable de la recherche de CyberMDX, « on ne peut pas supposer que les réseaux hospitaliers sont sûrs alors que l'ingénierie des dispositifs médicaux est vulnérable ». Ce dernier fait remarquer que « les hôpitaux sont des lieux publics : un grand nombre de personnes accèdent au réseau sans fil ou ont potentiellement accès à des ports Ethernet physiques, les médecins échangent des courriels et naviguent sur le web, les patients apportent leurs scanners et leurs dossiers médicaux de sources externes sur divers dispositifs de stockage, etc. En bref, il y a beaucoup de communication et de partage de données, et même si l’on voudrait que ces réseaux aient une hygiène de haute sécurité et soient isolés, c’est loin d’être le cas ».
Commentaire