医療システムの耐障害性を高めるために、Nozomi Networks Labsは、GE HealthCare Vivid Ultrasoundファミリーの機器と、生成された医療データをレビューするために使用されるコンパニオン・ソフトウェアに関する研究を行った。
本ブログでは、GEヘルスケア社の複数のシステムおよびソフトウェアに影響を及ぼす合計11件の脆弱性が発見されたことを発表する。超音波診断装置へのランサムウェアの埋め込みから、脆弱なデバイスに保存された患者データへのアクセスや操作まで、これらの欠陥が可能にする影響は多岐にわたる。これらのシナリオはすべて、病院のワークフローや処理される医療データのセキュリティに影響を及ぼす可能性がある。しかし、これらの手順を実行するためには、攻撃者が内蔵キーボードとトラックパッドで操作する必要があるため、機器との物理的な対話が必要となる。
特定された脆弱性に対するパッチおよび緩和策は、GE HealthCare Product Security Portal で入手可能です。通常通り、当社のThreat Intelligence フィードは、問題の悪用の検出戦略と影響を受けるコンポーネントの識別の両方をお客様に提供するために更新されています。
研究範囲
GEヘルスケアは、さまざまな患者のニーズに対応した幅広い超音波診断システムを提供している。我々は、循環器治療のために考案された医療用画像診断システムの包括的なスイートであるVividファミリーのセキュリティを調査した。具体的には、Vivid T9超音波診断装置とそのプリインストールされたCommon Service Desktop Webアプリケーション、およびEchoPACソフトウェアに注目しました。
Vivid T9(図1)は心臓超音波イメージングに特化した超音波診断装置である。また、血管や腹部の検査など、人体や体液の画像化、計測、表示、解析のための汎用超音波ソリューションとしても機能する。
Vivid T9のボンネットの下には、GEヘルスケアによってカスタマイズされたバージョンのMicrosoft Windows 10を実行する本格的なデスクトップPCが組み込まれている。装置ロジックのほとんどは、モニターに表示されるGUIを含め、その上で実行されるアプリケーションやスクリプトによって管理される。特筆すべきは、GUIは、直接アクセス可能な一部のWindows機能を除き、オペレーターが基礎となるWindows OSにアクセスできないように設計されていることだ(「キオスク」モードに似ている)。
GE ヘルスケア社の他の装置と同様、Vivid T9 にはCommon Service DesktopWeb アプリケーションがプリインストールされている(図 2)。Common Service Desktopは、組み込みWindowsシステム上で動作する付属管理Webアプリケーションで、機器のパスワード変更、ログ収集、ネットワークキャプチャの開始などの管理タスクを実行できる。このWebアプリケーションは、デバイスのlocalhostインターフェイス上でのみ公開されます。
最後に、EchoPACSoftware Only(図3)は、通常医師のWindowsワークステーションにインストールされ、多次元エコー、血管、腹部超音波画像の包括的なレビューステーションとして使用される臨床ソフトウェアパッケージである。GE HealthCare Vividスキャナファミリーの2D、4D、多次元超音波パラメトリック画像、および他の超音波システムのDICOM画像の表示と測定可能な解析機能の両方を提供します。超音波診断装置でこれらのデータフローを有効にするには、次の操作を実行します:
- DICOMおよび付属のSQL Anywhere DBMS通信用の新しいリスナーをインストールします;
- マニュアルに記載されているように、SMB送信用に新しいWindowsユーザーを作成する。
これらの脆弱性の影響は?
上記の各ターゲット内部で、病院環境とデバイスにアクセスした後、異なる攻撃ベクトルを通じて、最終的に管理者権限(すなわち、NT AUTHORITYSYSTEM)による任意のコード実行を達成するために悪用される可能性のある脆弱性をいくつか特定した(これについては、以下の「脆弱性スポットライト」のセクションで詳しく説明する)。これらの問題を悪用することで、以下の攻撃シナリオを実行することができる:
- ランサムウェア:Nozomi Networks Labsが実施した以前の調査と同様の方法で、概念実証ランサムウェアによってVivid T9をロックする能力の検証に成功した。デバイスに物理的にアクセスし、Windowsのセキュリティ保護をすべて解除した後(完全な権限が得られたため可能でした)、デバイスのロジックを混乱させると同時に、身代金の支払いを求める画像をスクリーンに表示することができました(図4)。同様のペイロードは、Echopacを実行している医師のワークステーションに対しても実行される可能性があります。
- 患者データへのアクセスと操作:ターゲット・システム上で完全な権限によるコード実行を達成した場合、攻撃者がそのシステムに保存されているすべての患者データにアクセスし、さらには操作することを止めることはできません。例えば、Echopacを考えた場合、すべての患者データはコンパニオンSQL Anywhereに保存されています。これらのデータベースは、ファイルを流出して互換性のあるクライアントでロードした後(図5)、あるいはさらに単純に、公開されたネットワーク・ポートにSQLコマンドを送信することで、簡単にアクセスすることができる。繰り返しますが、同じ弱点と結論がVivid T9にも当てはまります。
医療における脆弱性に関する一般的考察
上記の脆弱性を悪用した場合の直接的な影響について検討した後、今回のシナリオとは異なり、インターネットに接続されたデバイスが標的となる医療機関を狙ったサイバー攻撃の余波について、大まかな考察をいくつか紹介する。
大都市の一次医療施設がサイバー攻撃の標的にされるシナリオを考えてみよう。上記のものに限らず、様々なベンダーから供給され、しばしばセキュリティ上の弱点に悩まされるあらゆる種類の医療機器が、悪意のある行為者にとって魅力的な標的となり、より広範なサイバー攻撃の潜在的な入口となり得ることを認識することが重要である。施設がこのような攻撃の犠牲になれば、その影響は深刻かつ多方面に及ぶだろう。さまざまな症状の診断やモニタリングに不可欠な医療インフラにアクセスできなくなり、重要な処置が遅れたり、正確な診断が妨げられたり、タイムリーな治療が妨げられたりする可能性がある。さらに、患者の守秘義務が損なわれ、重大なプライバシー侵害や法的影響につながる可能性もある。公開された患者データが悪用されたり販売されたりする可能性もあり、個人のプライバシーに対する深刻な脅威となる。さらに、このような混乱は診断や治療計画の正確性を危うくし、患者に害を及ぼす可能性がある。
リスク管理者は、上記の例のような事象や事故の一次的な結果を考慮することが求められる。この限りにおいて、GEヘルスケアは、訓練を受けた医療スタッフが、規制当局の期待に従って医療安全リスクアセスメントを実施し、関連する安全リスクがコントロールされている、許容可能である、あるいは可能な限り低いという結論を出していることを確認している。このプロセスは、米国FDAやその他の規制機関によって規制されており、十分な訓練を受けた医療スタッフと非常に詳細な証拠収集が必要である。
医療業界は、攻撃を是正するために最も高い平均コストに直面し、復旧作業は長期かつ複雑になる可能性がある。サイバー保険の要件は、セキュリティ・インフラとポリシーの改善を促しているが、医療におけるサイバー保険の適用範囲は他の業界よりも低い可能性があることを示す調査もある。
ヘルスケアプロバイダーは、コンプライアンス、保険、インフラ整備のコストと、攻撃のリスク、復旧にかかる時間的・金銭的コスト、情報漏えいの風評コストのバランスを取っています。これらの要因は医療に限ったことではありませんが、人命にかかわる問題であるため、プライバシーと機密性を維持する必要性は他の多くの業界よりも複雑です。このバランスを管理し維持するためのインプットと手段を提供することが、セキュリティとリスクの専門家が取締役会のメンバーやリスクとエクスポージャーの管理と共に重要な役割を果たすところです。
脆弱性リストと影響を受けるバージョン
次の表は、発見されたすべての脆弱性を CVSS v3.1 ベーススコア順に並べたものである。
* この ID は、別の外部チームによって報告されたキオスク脱走の脆弱性を追跡するために 2020 年に割り当てられました。この ID は、Nozomi Networks Labs が発見した脆弱性「Protection Mechanism Failure (CWE-693)」および「Execution with Unnecessary Privileges (CWE-250)」を追跡するために GE HealthCare が再利用しています。
影響を受ける全構成の包括的なリストは、GE HealthCare Product Security Portalに掲載されています。
脆弱性スポットライト
上記で議論したように、これらの脆弱性の影響は全て類似しており、我々は3つのターゲット全てにおいてルートでの任意のコード実行を達成することができた。しかし、攻撃のベクトルは異なります。Vivid T9は物理的なインタラクションを必要とし、Common Service Desktopを悪用するにはローカルアクセスが必要であるのに対し、Echopacに対するコード実行はローカルネットワーク(「隣接」)を介して達成することができます。
デフォルトのコンフィギュレーションで実行されている場合、脆弱なVivid T9を悪用する最も効果的な方法は、Common Service Desktopも組み合わせた2段階のチェーンである:
- 第一に、CVE-2020-6977の保護メカニズム失敗問題を悪用して、キオスクモードを回避し、デバイスへのローカルアクセスを取得する。これにより、Common Service Desktop Webアプリケーションにアクセスできるようになります;
- 第二に、CVE-2024-1628 で追跡されている Common Service Desktop で発見されたコマンドインジェクションの問題の一つを悪用して、コードを実行します。CVE-2020-6977 の Unnecessary Privileges による実行の問題により、SYSTEM 権限が即座に付与されます。
これらのステップを実行するためには、攻撃者が内蔵キーボードとトラックパッドを操作する必要があるため、デバイスとの物理的なインタラクションが必要となります。注目すべきは、CVE-2024-1628で追跡されているコマンド・インジェクションの欠陥の1つが入力フィールドに影響し、クライアント側の入力検証ロジックが強制されていないため、入力フィールドにコマンドを入力するだけで悪用される可能性があることです。
しかし、このプロセスを高速化するために、攻撃者は露出したUSBポートを悪用し、キーボードとマウスをエミュレートすることで、人間よりも速いスピードで必要なすべてのステップを自動的に実行する悪意のあるUSBドライブを取り付けることもできることを証明した。例えば、私たちの研究室では、この一連の作業を約1分で完了させるUSBドライブを作成することに成功しました。超音波診断装置は、病院や診療所など、外部の人間が頻繁にアクセスする施設で使用されることが想定されるため、適切な条件下では、1分間放置された装置への攻撃が可能であるばかりでなく、その可能性も高い。この攻撃の連鎖を図6に示す。
一方、脆弱なEchopacのインストールを考慮する場合、特定の認証情報を介することなく、ネットワークからデフォルトでエクスプロイトを完了することができる。唯一の要件は、攻撃者が脆弱なソフトウェアとネットワーク・パケットを交換できることであり、これは通常、ターゲットが接続されている内部ネットワークへの足掛かりを持つことを意味します。通常は、誰もいないオフィスのネットワーク・ポートに物理的に接続する、保護が不十分な無線ネットワークを悪用する、従業員のパスワードを漏洩させた後にインターネットから企業VPNサービスにアクセスする(フィッシングなど)、など様々な方法が考えられる。
図 7 は、CVE-2024-27107 を利用した Echopac に対するリモート攻撃の可能性を示しています。
修復
資産所有者は、GE HealthCare Product Security Portalで、影響を受ける構成に対するすべての公式パッチおよび/または緩和策を確認することができます。
以下は、Nozomi Networks Labs が提供する追加の緩和策である:
- わずか1分でもマルウェアを埋め込むのに十分な時間があるため、たとえ短時間であっても超音波機器を放置しないこと;
- Echopac がインストールされているすべてのワークステーションで、ワークステーションが保護されていないネットワークに接続されている場合、ファイアウォール経由で SMB および 2638/tcp(SQL Anywhere DB サーバーポート)への着信接続をブロックします;
- 一般的に言えば、適切なネットワーク・セグメンテーションを確保し、ネットワーク通信を必要なトラフィックだけに制限する。
