網(wǎng)絡(luò)安全公司Armis研究人員一組九個(gè)漏洞，這些漏洞統(tǒng)稱為PwnedPiper，可被利用來對(duì)廣泛使用的氣動(dòng)管系統(tǒng) (PTS) 進(jìn)行多次攻擊。

攻擊者可以利用這些漏洞進(jìn)行廣泛的惡意活動(dòng)，例如進(jìn)行中間人 (MitM) 攻擊以更改或部署勒索軟件。

[[415140]]

Translogic PTS系統(tǒng)應(yīng)用于全球3000多家醫(yī)院，是醫(yī)院靜脈、動(dòng)脈和毛細(xì)血管的氣動(dòng)管道系統(tǒng)，可以在整個(gè)醫(yī)院內(nèi)輸送藥物、血液和實(shí)驗(yàn)室樣本?，F(xiàn)代PTS系統(tǒng)是以IP連接的，這使它們能夠提供更高級(jí)的功能。然而，盡管它們很流行，但這些系統(tǒng)的安全性從未被研究過。

這些漏洞可能會(huì)給未經(jīng)身份驗(yàn)證的攻擊者提供root控制權(quán)，并可能讓黑客接管Translogic Nexus控制面板。這9個(gè)關(guān)鍵漏洞位于Nexus控制面板中，Swisslog的所有當(dāng)前型號(hào)的 Translogic PTS系統(tǒng)中都包含了這一面板。

Armis研究人員表示：“該設(shè)備的所有當(dāng)前固件版本都容易受到這些漏洞的影響。”

以下是研究人員發(fā)現(xiàn)的九個(gè)漏洞：

• CVE-2021-37161：udpRXThread下溢漏洞
• CVE-2021-37162：sccProcessMsg溢出漏洞
• CVE-2021-37163：可通過Telnet服務(wù)器訪問兩個(gè)硬編碼密碼
• CVE-2021-37164：tcpTxThread 中的Off-by-3堆棧溢出漏洞
• CVE-2021-37165：hmiProcessMsg溢出漏洞
• CVE-2021-37166：GUI套接字拒絕服務(wù)
• CVE-2021-37167：可用于PE的root運(yùn)行用戶腳本
• CVE-2021-37160：未經(jīng)身份驗(yàn)證、未加密、未簽名的固件升級(jí)漏洞

Swisslog發(fā)布了Nexus控制面板7.2.5.7更新版本，修復(fù)了上述大部分漏洞，然而， CVE-2021-37160尚未修復(fù)。

通過入侵Nexus控制面板，攻擊者可以進(jìn)行偵察，包括從站點(diǎn)收集數(shù)據(jù)，例如使用PTS系統(tǒng)任何員工的RFID憑證、每個(gè)站點(diǎn)的功能或位置的詳細(xì)信息，了解關(guān)于PTS網(wǎng)絡(luò)的物理布局。如果攻擊者接管了這個(gè)管道網(wǎng)絡(luò)，可能導(dǎo)致包括拒絕服務(wù) (DoS)、復(fù)雜的勒索軟件或全面的中間人 (MiTM) 攻擊，這些攻擊可能會(huì)破壞目標(biāo)醫(yī)院的關(guān)鍵內(nèi)部運(yùn)作。

Armis聯(lián)合創(chuàng)始人兼首席技術(shù)官Nadir Izrael表示：“這項(xiàng)研究讓隱藏在人們視線中但仍然是現(xiàn)代醫(yī)療保健的重要組成部分的系統(tǒng)為大家所了解。此外，患者護(hù)理不僅取決于醫(yī)療設(shè)備，醫(yī)院的運(yùn)營基礎(chǔ)設(shè)施也是保護(hù)醫(yī)療保健環(huán)境的重要里程碑。”

攻擊場景

Armis提供了一個(gè)攻擊場景概述這些漏洞攻擊過程。在該場景中，攻擊者可以訪問低級(jí)物聯(lián)網(wǎng) (IoT) 設(shè)備進(jìn)入醫(yī)院網(wǎng)絡(luò)，例如連接到互聯(lián)網(wǎng)的IP攝像頭。隨后他們可以訪問醫(yī)院的內(nèi)部網(wǎng)絡(luò)并進(jìn)入Translogic PTS系統(tǒng)。之后再利用5個(gè)PwnedPiper漏洞來實(shí)現(xiàn)RCE。

攻擊者除了利用漏洞獲取登錄信息，例如，使用PTS系統(tǒng)的任何工作人員的RFID憑證、有關(guān)系統(tǒng)的詳細(xì)信息以及PTS網(wǎng)絡(luò)的布局。攻擊者還可以進(jìn)行橫向移動(dòng)攻擊，破壞所有Nexus 站點(diǎn)，例如醫(yī)院的血庫、藥房或?qū)嶒?yàn)室，將醫(yī)療物品困在傳輸管道中，并關(guān)閉站點(diǎn)，在其顯示屏上張貼勒索軟件說明。

報(bào)告顯示：“在這種動(dòng)蕩的狀態(tài)下，醫(yī)院的運(yùn)營可能會(huì)嚴(yán)重脫軌，向部門供應(yīng)藥物、及時(shí)交付實(shí)驗(yàn)室樣本，甚至向手術(shù)室供應(yīng)血液單位，都取決于PTS的持續(xù)可用性。”

先進(jìn)性背后的安全問題

Translogic PTS系統(tǒng)是一個(gè)先進(jìn)的系統(tǒng)，因?yàn)樗梢耘c醫(yī)院其他系統(tǒng)集成。雖然集成帶來了多種好處，例如通過RFID進(jìn)行員工身份驗(yàn)證，但這也意味著系統(tǒng)之間共享的信息可能會(huì)在系統(tǒng)受損的情況下被攻擊者泄露或操縱。

Armis 給出了一些PTS可能出現(xiàn)的問題示例：

研究人員解釋說：“雖然這些類型的高級(jí)功能增強(qiáng)了系統(tǒng)的物理安全性，但如果PTS系統(tǒng)遭到破壞，它們也會(huì)將員工記錄和他們的RFID憑證暴露給潛在的攻擊者。”

PTS系統(tǒng)控制物品流過管道速度，因此利用該系統(tǒng)可以調(diào)節(jié)緊急物品的運(yùn)輸速度。例如，攻擊者可以通過加速傳輸來損壞敏感產(chǎn)品，例如血液制品。

PTS系統(tǒng)還提供了一個(gè)警報(bào)消息解決方案，可以與醫(yī)院的通信解決方案集成，實(shí)現(xiàn)對(duì)交付的承運(yùn)人的通知和跟蹤，并就系統(tǒng)中的任何故障向PTS系統(tǒng)的維護(hù)人員發(fā)出警報(bào)。然而，攻擊者一旦濫用這些通信則會(huì)干擾醫(yī)院的工作流程。

研究人員建議，較好的防護(hù)措施包括通過使用網(wǎng)絡(luò)分段來加強(qiáng)對(duì)PTS解決方案等敏感系統(tǒng)的訪問，以及通過嚴(yán)格的防火墻規(guī)則限制對(duì)此類設(shè)備的訪問。