Hallan vulnerabilidades 0Day en sistemas de tubo neumático de hospitales

Una nueva amenaza se cierne sobre los hospitales y sobre las tecnologías IoT que cada vez cobran más protagonismo. Con el nombre de PwnedPiper se conoce al conjunto de vulnerabilidades encontradas en los sistemas de tubo de vacío.

Estos sistemas de tubos con aire a presión sirven para transportar medicinas, muestras o informes entre diferentes departamentos de un hospital, por ejemplo de un laboratorio a una consulta.

El tubo de vacío se conoce también como válvula termoiónica y no es precisamente nuevo, inventado en 1875 por Carey en su versión primigenia, ha sido evolucionado con tecnologías informáticas actuales.

Se han descubierto -y así lo ha publicado Armis, la consultora responsable en su informe– diversas vulnerabilidades que también fueron recogidas ya en Black Hat USA Las Vegas.

Vulnerabilidades en Physical Tube System de Translogic

El sistema Translogic PTS de la empresa Swisslog es una de las soluciones de Sistema de Tubo Físico (o tubo de vacío) más utilizadas en todo el mundo, con más de 3000 hospitales entre sus clientes.

Este conjunto soporta una red on-premises de estaciones de envío/recepción conectadas vía LAN (Local Area Network), que reportan todos a un servidor central de administración conocido como SCC.

Un atacante podría, básicamente, explotar diferentes fallos en el sistema de control (Control Panel) de Translogic Nexus de cada estación (sistema de tubos con pantalla de administración) sin necesidad de autenticación.

Las vulnerabilidades incluyen dos contraseñas «hardcodeadas» -esto es, en texto claro dentro del código del programa- de cuentas de usuario y superusuario (root), que son accesibles mediante acceso fijo por defecto a Telnet (CVE-2021-37163).

Existen 4 fallos de corrupción de memoria en la implementación del protocolo TLP20, que podrían ser usadas para ataques de Ejecución Remota de Código (RCE) y DoS o Denegación de Servicio. Son de tipo buffer/stack overflow:

• CVE-2021-37161
• CVE-2021-37162
• CVE-2021-37165
• CVE-2021-37164

Existe otra de tipo Escalado de Privilegios que podría permitir acceso como root mediante contraseña en texto claro via telnet (CVE-2021-37167) y otro DoS adicional en la interfaz gráfica (GUI) del Nexus Control Panel, mediante impersonación de comandos como CVE-2021-37166.

Aún hay más, con otro fallo de diseño en el NCP que permitiría a un tercero actualizar el firmware de los sistemas de tubo de vacío sin que el código esté firmado, sin cifrar y sin realizar autenticación previa.

Consecuencias de un ataque

Según advierten desde Armis, este tipo de compromiso, incluso si se produce en una única estación, podría entregar a un atacante el control completo de toda la red de Swisslog PTS para lanzar, por ejemplo, ataques de ransomware.

Recordemos que los hospitales son víctimas de peso en este tipo de ataques, que ya han causado incluso muertes al dejar inoperantes sistemas críticos para la salud.

Otro tipo de peligros de estas vulnerabilidades son la posible recoleccióny posterior clonado de identidades y tarjetas RFID de empleados para acceso a sistemas seguros y puertas, una vez comprometida una única estación.

De sistema de pruebas a producción, sin los controles apropiados

A continuación enumeraré algunos elementos que el estudio muestra como pruebas de la superficie de ataque disponible en los productos de Swisslogic PTS.

Ataque físico

El primer elemento atacable del perímetro son los propios PTS endpoint, cada conjunto de tubos con su respectivo circuito. Un atacante con acceso físico al dispositivo podría comprometerlo.

Se puede observar la ranura micro-SD que permitiría cargar un firmware no autorizado.

Ataque desde LAN o internet

También se podría atacar estos sistemas desde la red local (LAN) mediante técnicas de MiTM (hombre en el medio) como puede ser ARP spoofing (impresonación de Address Resolution Protocol). Además, algunos de estos aparatos tienen sus propias interfaces locales de mantenimiento, susceptibles de ofrecer otras vulnerabilidades.

En cuanto a potenciales ataques desde WAN (internet) en principio está limitado porque los sistemas de tubo solo reportan contra el SCC (servidor central de control). Sin embargo, el mismo está conectado por requisito a internet y podría ser susceptible, junto con su sistema operativo Windows Server, a ataques de red externa.

Kernel Linux obsoleto

El panel de control Nexus es un IoT o dispositivo embebido con Kernel que ya ha alcanzado fin de vida. El Linux presente es 2.6.35.3-433 con fecha de 2013, pero basado en uno de 2010, susceptible de múltiples vulnerabilidades.

Relacionado – Ver la versión del kernel de Linux

Diagrama de funcionamiento de los componentes de la placa:

Protocolo Translogic PTS

Finalmente, está el protocolo exclusivo que utilizan los aparatos para hablar con el servidor de control, conocido como protocolo TLP20 -protocolo sin cifrado que trabja sobre el puerto 12345 UDP.

Cada paquete comienza con la cadena TLPU, seguido del ID de secuencia, identificador de comando y un payload.

Los comandos contenidos en el payload se pueden identificar con facilidad al ir en texto claro, y están manejados por una aplicación construida en C a bajo nivle y a alto nivel por una aplicación Java.

Actualizaciones de Swisslog

Swisslogic ha publicado nueva versión de su firmware, que parchea todas menos una de las vulnerabilidades encontadas (CVE-2021-37160, la del firmware no firmado). Para esta en concreto están faciltiando algunos pasos de mitigación.

Según el advisory de la empresa, el problema con el firmware afecta a las placas de circuito modelo HMI-3 de los paneles Nexus siempre que estén conectados por Ethernet.

Según la empresa, para que un ataque tenga éxito, el atacante primero debe gozar de acceso a la red local del hospital (esto es de perogrullo).

Conclusiones

Tanto Armis como Swisslog tienen versiones ligeramente diferentes del alcance de estos problemas, por ejemplo, la primera habla de 8 CVE para 9 vulnerabilidades pero Swisslog habla de 9 CVE.

En cualquier caso algo está claro. Los IoT siguen siendo una amenaza para infraestructuras críticas si no se securizan y monitorizan debidamente, utilizando por ejemplo sistemas de EDR o NDR (Network Detection & Response) capaces de detectar patrones de red maliciosos, como beacons.

Por supuesto, es necesario sustituir aquellos componentes que no se pueden parchear y los que se pueda, parchearlos a tiempo.