今日のデジタル主導の医療環境では、コネクテッド・デバイスのセキュリティは、データの完全性の問題だけでなく、患者の安全性の問題でもある。
Nozomi Networks Labs による最近のセキュリティ評価により、主に病院で使用されている温度センサーである Plug&Track 社の Sensor Net Connect デバイスに 4 つの脆弱性が発見されました。また、付属のThermoscan IPデスクトップ・アプリケーションにも3件の脆弱性が発見された。
Nozomi Networks ラボはベンダーに何度も連絡を試みたが、回答は得られなかった。したがって、ベンダーから脆弱性を修正するための公式パッチは提供されていない。CERT/CCと合意し、また当研究所の情報開示方針に従い、資産所有者がこれらのソリューションがもたらすリスクを把握し、そのリスクを軽減するための適切な対策を講じることができるよう、技術的な詳細を限定してこれらの問題を一般に公表します。
この記事では、これらのセキュリティ上の欠陥の概要、潜在的な影響、および緩和のための実行可能な手順を説明します。Nozomi Networks をご利用のお客様には、これらの脅威から保護するためにThreat Intelligence フィードを更新しました。
研究範囲
Plug&Track 社は Proges Plus 社の一部門であり、ヘルスケア、製薬、食品産業向けの革新的な温度モニタリングおよびトレーサビリティソリューションを専門としています。同社の包括的な製品群には、スタンドアロンおよびリアルタイムのデータロガー、ワイヤレスセンサー、Wi-Fiまたはイーサネットを介した接続ソリューションが含まれ、高度に規制された業界の厳格な基準を満たし、生産、保管から輸送に至るまで、ライフサイクル全体を通して温度に敏感な製品の完全性を保証するように設計されています。
Sensor Net Connect V2(図1)は、Plug&Track社が提供するソリューションの一つです。これは、冷蔵室、冷蔵庫、冷凍庫の正確で信頼性の高い温度・湿度管理を実現するモニタリング装置で、生鮮食品から重要なワクチンまで、あらゆるものが安全な温度範囲内で保管されるように設計されています。この装置は、特定の気候条件を維持することが重要な環境にとって極めて重要です。
Linuxベースのこのデバイスには、コンピューター・ネットワークにシームレスに統合できる堅牢な10/100 BASE-Tイーサネット接続が搭載されており、デバイスとセンサーの迅速なセットアップと展開が可能です。最大3ポートをサポートし、複数の温度・湿度センサーを同時に接続することで、さまざまな環境における広範なモニタリングを可能にします。
.webp)
選択した配置(図2)により、収集したデータはThermotrack Webサーバーのクラウドプラットフォーム、またはオンプレミスのThermoscan IPデスクトップアプリケーションに送信され、環境変化への即時対応に不可欠なリアルタイムのデータ表示と分析を容易にします(図3)。後者のソリューションは、試験環境を構築し、脆弱性調査を実施するために選択されました。
これらの脆弱性の影響は?
Sensor Net ConnectとそのコレクターアプリであるThermoscan IPの分析を通じて、影響を最大化するために組み合わせることができる7つの脆弱性を特定しました。これらの問題を悪用することで、実行可能な攻撃シナリオの例を以下に示します:
- 医療データシステムに対する管理者権限:Thermoscan IPアプリケーションで発見された脆弱性を利用して、管理者ではない悪意のあるユーザーがシステム設定を操作したり、マルウェアをインストールしたり、個人情報や機密ファイルを含む機密データにアクセスし、流出させたりする可能性があります。さらに、ログファイルやその他の行動証拠を改ざんすることで痕跡を隠し、正規の管理者による検知と対処を困難にする可能性もあります。
- 医療監視インフラのサービス停止:この中断は、温度の影響を受けやすい医薬品やワクチンの腐敗につながる可能性があり、その結果、重大な経済的損失、サプライチェーンの問題、必要不可欠な医薬品が入手できなくなることによる公衆衛生リスクの可能性がある。データ自体の完全性は保たれるかもしれないが、リアルタイムのモニタリングができないため、データが陳腐化し、影響を受ける医薬品の保管状況や有効性に対する信頼が損なわれる可能性がある。
例を挙げると、これらの脆弱性が悪用された場合、仮想的な現実世界の医療提供者に生じる可能性のある影響には、以下のようなものがある:
- システムのダウンタイム:システム改ざんによる医療サービスの中断。
- データ操作:医療記録の改ざんや削除で、患者のケアや安全性が損なわれる可能性がある。
- データ漏洩:プライバシー侵害につながる患者の機密情報の流出。
- 評判の低下:患者データを保護し、安全な業務を確保する医療提供者の能力に対する社会的信頼の低下。
このような要因は医療に限ったことではありませんが、人命に影響を及ぼす可能性があるため、プライバシーと機密性を維持する必要性が他の多くの業界よりも複雑になっています。セキュリティとリスクの専門家は、このバランスを管理・維持するために必要な専門知識を提供し、役員や経営陣と緊密に連携してリスクやリスクに対処するという重要な役割を担っています。
脆弱性リストと影響を受けるバージョン
次の表は、Sensor Net Connect V2(FWバージョン2.24)デバイスで見つかったすべての脆弱性をCVSS v3.1ベーススコア順に並べたものです。
以下の表は、Thermoscan IP (20211103)Windows アプリケーションで見つかった脆弱性を CVSS v3.1 ベーススコアで並べたものです。
脆弱性スポットライト
特定された顕著な脆弱性は、CVE-2024-31202であり、クリティカルリソースに対する不正なパーミッションの割り当てにより、ローカル特権の昇格(LPE)攻撃を受ける可能性がある。
上記の影響を考慮すると、病院内で起こりうる攻撃シナリオは、図4で「unprivileged_user」と呼ばれる非特権ユーザーが、Thermoscan IPソフトウェアがインストールされている医療システムに基本的なアクセス権を持つというものです。現実の世界では、このユーザーは同じデバイスにインストールされたサードパーティのアプリケーションであったり、システムの保守作業を行う請負業者であったりします。
CVE-2024-31202の背後にある技術的欠陥の結果として、Windowsシステム上で定義されたユーザーであれば誰でも、そのアクセス・レベルに関係なく、管理者権限でコマンドを実行することができる。このような脆弱性を悪用する最も典型的な方法の一つは、バックドアアカウントを作成し、それをWindowsの「Administrators」グループに割り当てることである。実のところ、これによって攻撃者はシステムへの永続的なアクセスが可能になり、重要なデータを好きなように変更、閲覧、削除できるようになる。
この特定の攻撃経路は、テスト・セットアップの概念実証の目的で試みられ、その結果は図 5に報告されている。見てわかるように、"unprivileged_user "は"john"という新しいアカウントを作成し、Administratorsグループに割り当てることに成功しました。
Nozomi Networks ラボでは、ProgesPlus と Plug&Track の両社に、複数のコンタクトチャネルを介した直接のコンタクトと、VINCE プラット フォーム上で脆弱性を報告することによる CERT/CC を介した間接的なコンタクトを複数回試みましたが、ベンダーか らの回答は得られませんでした。その結果、当社の脆弱性公表ポリシーに厳密に則り、コミュニティがこれらの脆弱性を認識し、必要な予防措置を講じることができるようにするため、これらの脆弱性の公表に踏み切りました。従って、このブログ記事では、悪意ある行為者による悪用の可能性を防ぐため、技術的な詳細については触れません。
修復
このブログの公開時点では、ベンダーは発見された脆弱性に対処するための公式パッチをリリースしていない。したがって、潜在的なリスクを軽減するために、以下の事前対策を講じることをお勧めする:
- アクセスの分離:温度監視インフラに対する厳格なアクセス制御を実施する。これには、一般クライアントがウェブ設定インターフェイスにアクセスできないようにすることも含まれ、悪用される可能性のあるポイントを限定する。
- ログとアカウントの監視Thermoscan IPソフトウェアが稼動しているシステムのログとユーザーアカウントを定期的に徹底的にレビューする。これにより、不審な行動を早期に特定して対処することができ、潜在的なセキュリティ侵害を迅速に発見して是正することができます。
これらの措置は、ベンダーから恒久的な修正プログラムが提供されるまで、温度監視システムの完全性を保護するために不可欠である。
