患者モニタリングソリューションは、最も基本的なセットアップでは、患者のバイタルサインを測定する少なくとも1つのデバイスと、データを受信して保存するアプリケーションで構成されます。選択した設計によっては、このアプリケーションは介護者向けのコンサルテーション機能を提供したり、データをさらにコレクターに転送したりすることもできます。
Nozomi Networks ラボは特に、この種の展開によってどのような攻撃対象が露出するのかを理解することに関心があった。この配備を調査するためのテストベッドとして、PIIC iXワークステーションに接続されたPhilips Intellivue MX100患者モニターを設定した。
当社の調査により、分析対象の攻撃サーフェスの一部に影響する 5 件の脆弱性が発見され、適時にベンダ ーに開示しました。ICS-CERT は、11 月 18 日にリリースした勧告ICSMA-21-322-01およびICSMA-21-322-02において、これらの問題に対処した。この記事を書いている時点では、開示された脆弱性のうち 1 つだけがパッチで解決されていますが、残りの 4 つは先の勧告で提供されたガイドラインで緩和することができます。
このブログでは、他のベンダーが開発した同様のモニタリング・ソリューションに適用される可能性のある、攻撃対象領域を強調することを目的として、脆弱性の概要を紹介する。
メイン」アプリケーションによってさらされる攻撃面
インテリビュー・インフォメーション・センターiX(PIIC iX)は、フィリップスが開発した複合的な患者モニタリング・ソリューションで、患者のベッドサイドとユニットのセントラルステーションでモニタリングを行い、介護者向けにスマートフォンのアプリケーションを提供する。
PIIC iXワークステーションにはいくつかの機能がある。PIIC iXワークステーションは、患者モニターが生成するデータの収集に加え、データを参照し、デバイスを管理するために使用される。このように1つのターゲットにサービスが集中していることを悪用し、攻撃者が1つの脆弱性を見つけることで、より広範な問題を引き起こすことがある。
これはまさにCVE-2021-43548のケースであり、ネットワークに公開されたサービスに影響するサービス拒否(DoS)である。脆弱なサービスはマネージド言語で書かれており、リモートの脆弱性はサービスを停止させる以上のことはできない。しかし、PIIC iX ワークステーションは、一連のサービスを監視するシステム全体のウォッチドッグを実装しており、そのようなサービスの1つが停止すると、ワークステーションの再起動がトリガーされる。
ネットワークサービスが利用可能になるたびに単一のパケットを送信できる攻撃者の脅威シナリオでは、患者モニターが生成するデータが継続的に失われ、介護者が以前に保存した患者データを参照できなくなる可能性がある。
デバイス管理インターフェイスがさらけ出す攻撃サーフェス
患者モニタリング・ソリューションは、定義上、少なくとも1つのデバイス、患者モニターそのものを含む。フィリップスが設計したソリューションは、サードパーティの患者モニターが生成したデータを取り込むこともできる。これは、インテリブリッジEC40やEC80のような追加機器によって実現され、ウェブインターフェースを通じて管理されるネットワーク化された機器群である。
脆弱性CVE-2021-32993およびCVE-2021-33017は、影響を受けるターゲットの管理インターフェイスに関する2つの問題であり、外部の攻撃者がデバイスの管理を引き継ぐことを可能にします。
このケースでは、デバイスの管理はウェブ・インターフェースを通じて行われるが、同様のデバイスが独自のプロトコルに依存している場合もある。そのような場合、資産所有者は、ベンダーに対して、それらの仕組みのセキュリティ態勢を適切に文書化するよう求めるべきである。
トランジット・データがさらけ出す攻撃面
患者モニタリングソリューションによって生成され、管理されるデータは、本質的に機密性の高いものです。ネットワークを介して移動する患者データの機密性に影響を与える脆弱性は、慎重に扱われるべきです。
CVE-2021-43550は、Philips 社製の一連の患者モニタに存在する脆弱性を特定するもので、 ネットワークトラフィックにアクセス可能な攻撃者によって、デバイスと PIIC iX ワークステーション間の通信の機密性が侵害される可能性があります。
安静時データによってさらされる攻撃面
輸送中の患者データに関する同様の機密保持の懸念は、静止中のデータにも適用されるべきである。ソリューションを開発する際、バックアップのセキュリティが見落とされることがある。脆弱性CVE-2021-43552は、PIIC iXワークステーション・ソフトウェアにハードコードされていることが判明した、患者データのバックアップのための暗号キーの使用について言及している。
患者データのバックアップを取得できる攻撃者は、ハードコードされたキーを使用して平文で情報にアクセスできる。
概要
このブログでは、Nozomi Networks Labs が患者モニタリング・ソリューションにおいて特定した 5 つの脆弱性を紹介する。しかし、主な目的は、これらの脆弱性を活用することで、これらのシステムによって暴露される攻撃面について、より構造化された議論を導入し、資産所有者が自社のセキュリティ姿勢を理解できるようにすることである。
参考文献
- 「患者ケアの未来は今」、フィリップス、2020年1月。
