Des systèmes de transport par tube pneumatique des hôpitaux vulnérables

Des chercheurs ont identifié plusieurs vulnérabilités à haut risque dans un modèle très répandu de systèmes de tubes pneumatiques (STP) utilisés par de nombreux hôpitaux pour transporter des matériaux sensibles, notamment des échantillons de laboratoire, des produits sanguins, des tests et des médicaments entre différents services. Ces failles pourraient permettre à des attaquants de saboter ou de prendre en otage les systèmes, avec un impact potentiellement néfaste sur les soins aux patients. Les vulnérabilités affectent le système Translogic PTS fabriqué par Swisslog Healthcare, qui, selon le fabricant, est utilisé dans plus de 2 300 hôpitaux en Amérique du Nord et plus de 3 000 établissements de santé dans le monde. Ces systèmes, qui permettent d'économiser jusqu'à 200 heures par jour en temps de transport, occupent une part importante dans les flux de travail quotidiens des établissements de santé.

Le système Translogic PTS prend en charge les transferts sécurisés grâce au suivi des transporteurs, à l'authentification des utilisateurs et au contrôle de l'accès physique au moyen de passes et de cartes RFID. Les travailleurs interagissent avec le système via un panneau de commande à écran tactile sur des dispositifs appelés Nexus Stations où ils peuvent charger et recevoir les transporteurs, terme utilisé pour désigner les conteneurs qui voyagent dans le système de tubes. « Un attaquant pourrait soit réacheminer les transporteurs, ce qui perturberait les opérations de l'hôpital, soit arrêter complètement le système », expliquent dans leur rapport les chercheurs de la société de sécurité Armis, qui ont découvert les vulnérabilités. « La plus grave de ces vulnérabilités (référencée CVE-2021-37160) peut permettre à un attaquant de maintenir la persistance sur les stations Nexus compromises via leur procédure non sécurisée de mise à jour du firmware, et donc de maintenir les stations en otage jusqu'au paiement d'une rançon ».

Mots de passe codés en dur, corruption de mémoire et mises à jour non sécurisées

« Le logiciel Nexus Control Panel est construit sur Linux for ARM avec un noyau très ancien », a aussi expliqué Ben Seri, vice-président de la recherche chez Armis. Les mots de passe de l'utilisateur root et d'un autre utilisateur sont codés en dur et peuvent être utilisés pour accéder à l'appareil via Telnet si un attaquant se trouve sur le même réseau. Telnet est activé par défaut et ne peut être désactivé par la configuration native du dispositif. Une autre vulnérabilité consiste en un script qui s'exécute en tant que root, mais il est utilisable par un utilisateur moins privilégié pour élever ses privilèges et obtenir des droits complets sur le dispositif. Les chercheurs ont également découvert quatre failles de corruption de mémoire dans le protocole propriétaire TLP20 basé sur UDP utilisé pour gérer et contrôler les dispositifs. L'exploitation de ces vulnérabilités ne nécessite pas d'authentification et peut conduire à l'exécution de code à distance ou à un déni de service.

Une vulnérabilité distincte de déni de service est liée au fait que le processus contrôlant l'interface graphique (GUI) sur le panneau de contrôle Nexus Control Panel fonctionne comme un service local lié à toutes les interfaces réseau. Cela signifie qu'un attaquant peut détourner à distance la connexion de ce processus via le réseau et imiter les commandes de l'interface graphique. Enfin, le mécanisme de mise à niveau du firmware n'utilise pas le chiffrement ou la vérification de la signature cryptographique, si bien qu’un attaquant peut effectuer une mise à niveau malveillante du firmware, exécuter du code à distance et obtenir une persistance de bas niveau sur le dispositif.

Contrôles d'accès et étiquettes RFID exposés

« La mise à niveau du firmware s'effectue via le protocole TLP20, de sorte qu'un attaquant ne saurait pas forcément comment faire, mais il n’aurait pas de mal à comprendre ce qu’il faut faire », a encore expliqué Ben Seri. L'attaquant pourrait simplement surveiller le trafic réseau à partir d'une position man-in-the-middle, observer la façon dont les mises à jour du micrologiciel sont effectuées, puis répéter le processus en remplaçant la mise à jour par une mise à jour malveillante. Comme tout se passe sur une base Linux, le fichier de mise à jour est un exécutable ELF standard qui s’exécute en tant que root, de sorte qu'aucune ingénierie inverse du firmware n'est nécessaire. Selon les chercheurs d'Armis, cette persistance par le biais d'un tel composant malveillant pourrait permettre des attaques de type ransomware où les pirates utilisent leur accès pour perturber le système et empêcher son utilisation. Il serait possible de récupérer les stations compromises par ce type d’attaque en effectuant des mises à jour manuelles du microcode, mais cela prendrait beaucoup de temps et d'efforts.

« Les hôpitaux sont devenus dépendants de ces systèmes, qui sont censés fonctionner en permanence. Si une telle attaque devait se produire, ils devraient mobiliser de la main-d'œuvre pour transporter manuellement ces éléments critiques dans l'hôpital », a expliqué M. Seri. Les attaquants pourraient également saboter le système d'autres façons en redirigeant les transporteurs vers la mauvaise destination et désorganiser le processus et l’hôpital ou en augmentant la vitesse de transport à l'intérieur du système, ce qui endommagerait les matériaux sensibles censés être acheminés à des vitesses plus lentes. Les systèmes traitent également des informations sur le personnel, s'intègrent à des solutions de contrôle d'accès comme les étiquettes RFID, et peuvent même s'intégrer à des systèmes de communication comme le courrier électronique ou les SMS pour envoyer des notifications indiquant que les transporteurs ont été envoyés ou reçus.

Des mesures d'atténuation à activer

« Les vulnérabilités concernent essentiellement la carte logique HMI-3 située à l'intérieur des Nexus Panels quand ils sont connectés en Ethernet et le niveau de compromission des stations dépend de l'accès d'un mauvais acteur au réseau IT de l'établissement », a déclaré Swisslog Healthcare dans un communiqué. La société a préparé une nouvelle version du logiciel avec un firmware mis à jour qui corrige sept des huit vulnérabilités identifiées par Armis. La dernière fait l'objet de mesures d'atténuation documentées dans le Guide de déploiement et de communication réseau de la société. « Les hôpitaux ont l'habitude de se fier à ces systèmes en permanence. Leur mise à jour peut donc prendre du temps, car elle peut nécessiter un arrêt planifié », a expliqué M. Seri. « Tant que les correctifs n’ont pas été appliqués, les établissements concernés doivent utiliser la segmentation de réseau, les listes de contrôle d'accès et les commutateurs pour limiter l'accès à ces systèmes sur le réseau », a ajouté M. Seri. Armis publiera également des règles IDS (Intrusion Dectection Service) qui pourront être intégrées dans des solutions de surveillance open source ou autres afin de détecter les tentatives d'exploitation de ces vulnérabilités.

Le système Translogic PTS dispose également d'un serveur de contrôle central fonctionnant sous Windows et disposant d'un accès à Internet. Ce serveur doit également être mis à jour et doit être protégé, car sa compromission permettrait aux attaquants d'avoir un accès réseau à toutes les stations. « Nous pensons que ces systèmes sont extrêmement vulnérables », a déclaré M. Seri. « C'est la première fois qu'ils sont examinés et nous n'avons découvert que certaines des vulnérabilités de base. Ce n’est donc que le début, car nous pensons que l’on peut trouver d’autres vulnérabilités sur ces appareils », a-t-il ajouté.