今日のデジタル化された医療環境では、接続されたデバイスのセキュリティは、データの完全性だけでなく、患者の安全にも関わる問題です。
Nozomi Networks Labs による最近のセキュリティ評価では、主に病院で使用される温度センサーである Plug&Track の Sensor Net Connect デバイスに 4つの脆弱性が発見されました。また、付属の Thermoscan IP デスクトップアプリケーションにも 3つの脆弱性が発見されました。
Nozomi Networks Labs は、ベンダーに何度も連絡を試みましたが、回答は得られていません。そのため、ベンダーから脆弱性を修正する公式パッチは提供されていません。CERT/CC との合意に基づき、また、当社の開示ポリシーに従って、当社は、限定的な技術的詳細とともに、これらの問題を公開します。これにより、資産所有者がこれらのソリューションによってもたらされるリスクを把握し、リスクを軽減するための適切な措置を講じることができるようになります。
この記事では、これらのセキュリティ上の欠陥、潜在的な影響、および緩和策について概説します。Nozomi Networks のお客様には、これらの脅威に対する保護を提供するために、当社の脅威インテリジェンスフィードが更新されました。
リサーチ範囲
Plug&Track は Proges Plus の一部門であり、ヘルスケア、製薬、食品業界向けに特化した革新的な温度モニタリングおよびトレーサビリティソリューションを専門としています。 同社の幅広い製品ラインナップには、単体およびリアルタイムデータロガー、ワイヤレスセンサー、Wi-Fi やイーサネットを介した接続ソリューションなどがあり、規制の厳しい業界の厳しい基準を満たし、生産や保管から輸送に至るまで、温度に敏感な製品のライフサイクル全体を通じてその完全性を保証するように設計されています。
Sensor Net Connect V2(図1)は、Plug&Track社が提供するソリューションの一つです。これは、冷蔵室、冷蔵庫、冷凍庫の正確で信頼性の高い温度・湿度管理を実現するモニタリング装置で、生鮮食品から重要なワクチンまで、あらゆるものが安全な温度範囲内で保管されるように設計されています。この装置は、特定の気候条件を維持することが重要な環境にとって極めて重要です。
Linuxベースのこのデバイスには、コンピューター・ネットワークにシームレスに統合できる堅牢な10/100 BASE-Tイーサネット接続が搭載されており、デバイスとセンサーの迅速なセットアップと展開が可能です。最大3ポートをサポートし、複数の温度・湿度センサーを同時に接続することで、さまざまな環境における広範なモニタリングを可能にします。
.webp)
選択した配置(図2)により、収集したデータはThermotrack Webサーバーのクラウドプラットフォーム、またはオンプレミスのThermoscan IPデスクトップアプリケーションに送信され、環境変化への即時対応に不可欠なリアルタイムのデータ表示と分析を容易にします(図3)。後者のソリューションは、試験環境を構築し、脆弱性調査を実施するために選択されました。
これらの脆弱性の影響
Sensor Net Connect とコレクターアプリである Thermoscan IP の分析により、影響を最大限に高めるために組み合わせることができる 7つの脆弱性を特定しました。これらの問題を悪用することで、以下のような攻撃シナリオが実行される可能性があります。
- 医療データシステムに対する管理者権限:Thermoscan IP アプリケーションで発見された脆弱性を悪用して、管理者権限を持たない悪意のあるユーザーがシステム設定を操作したり、マルウェアをインストールしたり、個人情報や機密ファイルなどの機密データにアクセスして外部に送信する可能性があります。さらに、ユーザーはログファイルやその他の活動の証拠を改ざんして足跡を隠蔽し、正規の管理者による検出や修復をより困難にすることが考えられます。
- 医療監視インフラのサービス停止:この中断により、温度に敏感な医薬品やワクチンが劣化し、その結果、重要な医療用製品の入手が不可能になることで、重大な金銭的損失、サプライチェーンの問題、さらには公衆衛生上のリスクが生じる可能性があります。データの完全性自体は損なわれないかもしれませんが、リアルタイムのモニタリングが欠如していることで、データが時代遅れとなり、保管状況や医薬品の有効性に対する信頼が損なわれる可能性があります。
例を挙げると、これらの脆弱性が悪用された場合、仮想的な現実世界の医療提供者に生じる可能性のある影響には、以下のようなものがあります。
- システムのダウンタイム:システム改ざんによる医療サービスの中断。
- データ操作:医療記録の改ざんや削除で、患者のケアや安全性が損なわれる可能性がある。
- データ漏洩:プライバシー侵害につながる患者の機密情報の流出。
- 評判の低下:患者データを保護し、安全な業務を確保する医療提供者の能力に対する社会的信頼の低下。
このような要因は医療に限ったことではありませんが、人命に影響を及ぼす可能性があるため、プライバシーと機密性を維持する必要性が他の多くの業界よりも複雑になっています。セキュリティとリスクの専門家は、このバランスを管理・維持するために必要な専門知識を提供し、役員や経営陣と緊密に連携してリスクやリスクに対処するという重要な役割を担っています。
脆弱性リストと影響を受けるバージョン
次の表は、Sensor Net Connect V2(FWバージョン2.24)デバイスで見つかったすべての脆弱性をCVSS v3.1ベーススコア順に並べたものです。
以下の表は、Thermoscan IP (20211103)Windows アプリケーションで見つかった脆弱性を CVSS v3.1 ベーススコアで並べたものです。
脆弱性スポットライト
特に深刻な脆弱性として特定されたのは、CVE-2024-31202 という脆弱性で、重要なリソースに対する不適切な権限の割り当てにより、LPE (ローカル特権昇格) 攻撃を実行される可能性が生じます。
上述の影響を考慮すると、病院内での潜在的な攻撃シナリオには、サーモスキャンIPソフトウェアがインストールされたヘルスケアシステムに基本アクセス権を持つ特権のないユーザー (図 4では "unprivileged_user"と表記) が関与します。現実世界では、これは同じデバイスにインストールされたサードパーティのアプリケーション、またはシステムのメンテナンス作業を行う請負業者である可能性があります。
CVE-2024-31202の技術的欠陥により、Windowsシステム上で定義されたすべてのユーザーは、アクセスレベルに関係なく、管理者権限でコマンドを実行することができます。このような脆弱性を悪用する最も典型的な方法の1つは、バックドアアカウントを作成し、それをWindowsの "Administrators" グループに割り当てることです。実際、これにより攻撃者はシステムに永続的にアクセスできるようになり、重要なデータを自由に変更、閲覧、削除できるようになります。
この特定の攻撃経路は、テスト環境で概念実証を目的として試行され、その結果が図5に示されています。ご覧の通り、"unprivileged_user " は"john" という新しいアカウントを無事に作成し、Administrators グループに割り当てました。これにより、システムへの強力なバックドアアクセスを入手することができました。
Nozomi Networks Labs は、ProgesPlus および Plug&Track の両社に、複数の連絡手段で直接連絡するとともに、CERT/CC を通じて間接的に連絡し、VINCE プラットフォーム上の脆弱性を報告しましたが、ベンダーからの回答は得られませんでした。そのため、当社の脆弱性公表ポリシーに厳密に従い、これらの脆弱性を一般に開示することにしました。これにより、コミュニティが認識し、必要な予防措置を講じることができるようになります。したがって、このブログ記事では、悪意のある行為者による悪用を防ぐため、これ以上の技術的な詳細については取り上げません。
修復
このブログが公開された時点では、ベンダーは発見された脆弱性に対応する公式パッチをリリースしていません。そのため、潜在的なリスクを軽減するために、以下の事前対策を講じることをお勧めします。
- アクセスを分離:温度モニタリングのインフラストラクチャに厳格なアクセス制御を導入します。これには、一般顧客が Web 設定インターフェースにアクセスできないようにし、悪用される可能性のあるポイントを制限することが含まれます。
- ログとアカウントを監視: Thermoscan IP ソフトウェアを実行しているシステム上のログとユーザーアカウントを定期的に徹底的に確認します。これにより、疑わしい活動を早期に特定し、対処することができ、潜在的なセキュリティ侵害を確実に検知し、迅速に修復することができます。
ベンダーから恒久的な修正プログラムが提供されるまでの間、これらの手順は温度モニタリングシステムの完全性を保護するために不可欠です。
