網(wǎng)絡安全公司Armis研究人員一組九個漏洞，這些漏洞統(tǒng)稱為PwnedPiper，可被利用來對廣泛使用的氣動管系統(tǒng) (PTS) 進行多次攻擊。

攻擊者可以利用這些漏洞進行廣泛的惡意活動，例如進行中間人 (MitM) 攻擊以更改或部署勒索軟件。

[[415140]]

Translogic PTS系統(tǒng)應用于全球3000多家醫(yī)院，是醫(yī)院靜脈、動脈和毛細血管的氣動管道系統(tǒng)，可以在整個醫(yī)院內輸送藥物、血液和實驗室樣本?，F(xiàn)代PTS系統(tǒng)是以IP連接的，這使它們能夠提供更高級的功能。然而，盡管它們很流行，但這些系統(tǒng)的安全性從未被研究過。

這些漏洞可能會給未經(jīng)身份驗證的攻擊者提供root控制權，并可能讓黑客接管Translogic Nexus控制面板。這9個關鍵漏洞位于Nexus控制面板中，Swisslog的所有當前型號的 Translogic PTS系統(tǒng)中都包含了這一面板。

Armis研究人員表示：“該設備的所有當前固件版本都容易受到這些漏洞的影響。”

以下是研究人員發(fā)現(xiàn)的九個漏洞：

• CVE-2021-37161：udpRXThread下溢漏洞
• CVE-2021-37162：sccProcessMsg溢出漏洞
• CVE-2021-37163：可通過Telnet服務器訪問兩個硬編碼密碼
• CVE-2021-37164：tcpTxThread 中的Off-by-3堆棧溢出漏洞
• CVE-2021-37165：hmiProcessMsg溢出漏洞
• CVE-2021-37166：GUI套接字拒絕服務
• CVE-2021-37167：可用于PE的root運行用戶腳本
• CVE-2021-37160：未經(jīng)身份驗證、未加密、未簽名的固件升級漏洞

Swisslog發(fā)布了Nexus控制面板7.2.5.7更新版本，修復了上述大部分漏洞，然而， CVE-2021-37160尚未修復。

通過入侵Nexus控制面板，攻擊者可以進行偵察，包括從站點收集數(shù)據(jù)，例如使用PTS系統(tǒng)任何員工的RFID憑證、每個站點的功能或位置的詳細信息，了解關于PTS網(wǎng)絡的物理布局。如果攻擊者接管了這個管道網(wǎng)絡，可能導致包括拒絕服務 (DoS)、復雜的勒索軟件或全面的中間人 (MiTM) 攻擊，這些攻擊可能會破壞目標醫(yī)院的關鍵內部運作。

Armis聯(lián)合創(chuàng)始人兼首席技術官Nadir Izrael表示：“這項研究讓隱藏在人們視線中但仍然是現(xiàn)代醫(yī)療保健的重要組成部分的系統(tǒng)為大家所了解。此外，患者護理不僅取決于醫(yī)療設備，醫(yī)院的運營基礎設施也是保護醫(yī)療保健環(huán)境的重要里程碑。”

攻擊場景

Armis提供了一個攻擊場景概述這些漏洞攻擊過程。在該場景中，攻擊者可以訪問低級物聯(lián)網(wǎng) (IoT) 設備進入醫(yī)院網(wǎng)絡，例如連接到互聯(lián)網(wǎng)的IP攝像頭。隨后他們可以訪問醫(yī)院的內部網(wǎng)絡并進入Translogic PTS系統(tǒng)。之后再利用5個PwnedPiper漏洞來實現(xiàn)RCE。

攻擊者除了利用漏洞獲取登錄信息，例如，使用PTS系統(tǒng)的任何工作人員的RFID憑證、有關系統(tǒng)的詳細信息以及PTS網(wǎng)絡的布局。攻擊者還可以進行橫向移動攻擊，破壞所有Nexus 站點，例如醫(yī)院的血庫、藥房或實驗室，將醫(yī)療物品困在傳輸管道中，并關閉站點，在其顯示屏上張貼勒索軟件說明。

報告顯示：“在這種動蕩的狀態(tài)下，醫(yī)院的運營可能會嚴重脫軌，向部門供應藥物、及時交付實驗室樣本，甚至向手術室供應血液單位，都取決于PTS的持續(xù)可用性。”

先進性背后的安全問題

Translogic PTS系統(tǒng)是一個先進的系統(tǒng)，因為它可以與醫(yī)院其他系統(tǒng)集成。雖然集成帶來了多種好處，例如通過RFID進行員工身份驗證，但這也意味著系統(tǒng)之間共享的信息可能會在系統(tǒng)受損的情況下被攻擊者泄露或操縱。

Armis 給出了一些PTS可能出現(xiàn)的問題示例：

研究人員解釋說：“雖然這些類型的高級功能增強了系統(tǒng)的物理安全性，但如果PTS系統(tǒng)遭到破壞，它們也會將員工記錄和他們的RFID憑證暴露給潛在的攻擊者。”

PTS系統(tǒng)控制物品流過管道速度，因此利用該系統(tǒng)可以調節(jié)緊急物品的運輸速度。例如，攻擊者可以通過加速傳輸來損壞敏感產(chǎn)品，例如血液制品。

PTS系統(tǒng)還提供了一個警報消息解決方案，可以與醫(yī)院的通信解決方案集成，實現(xiàn)對交付的承運人的通知和跟蹤，并就系統(tǒng)中的任何故障向PTS系統(tǒng)的維護人員發(fā)出警報。然而，攻擊者一旦濫用這些通信則會干擾醫(yī)院的工作流程。

研究人員建議，較好的防護措施包括通過使用網(wǎng)絡分段來加強對PTS解決方案等敏感系統(tǒng)的訪問，以及通過嚴格的防火墻規(guī)則限制對此類設備的訪問。