Cresce l’attesa per le patch destinate ai dispositivi medici colpiti da WannaCry

Si è pensato, inizialmente, che fossero vulnerabili soltanto le macchine dotate di sistema operativo Windows; non dovrebbe tuttavia aver costituito motivo di particolare sorpresa il fatto che siano risultati soggetti ai pericoli causati dalla rapida ed incontrollata diffusione del ransomware WannaCry anche i dispositivi medici e i sistemi di controllo industriali.

Nel corso di questi ultimi giorni, l’Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) – gruppo d’intervento rapido in caso di emergenze informatiche, patrocinato dal DHS (Department of Homeland Security, Dipartimento della Sicurezza Interna degli Stati Uniti) – e vari produttori di dispositivi medici, hanno iniziato ad avvertire gli utenti riguardo ai rischi che presenta il malware in questione, suggerendo le strategie di mitigazione che dovrebbero essere implementate dai complessi ospedalieri e dalle unità di produzione industriale che fanno uso di software di vario genere nell’ambito di versioni vulnerabili di Windows, in cui risulta abilitato il protocollo SMBv1.

WannaCry si è prepotentemente scavato la propria strada su Internet a partire da venerdì 12 maggio; come è noto, esso sfrutta l’exploit denominato EternalBlue, lanciando un attacco basato sull’esecuzione di codice da remoto; viene in tal modo presa di mira una vulnerabilità critica individuata in Windows, peraltro già opportunamente patchata, relativa al protocollo SMBv1. Di fatto, nello scorso mese di marzo, Microsoft aveva già provveduto a rilasciare un’apposita patch, destinata a chiudere la suddetta vulnerabilità; ricordiamo, a tal proposito, che l’exploit in grado di sfruttare quest’ultima fa parte di un nutrito pacchetto di strumenti di hacking reso di pubblico dominio, in aprile, dal gruppo di hacker noto come ShadowBrokers. La patch in questione, a quanto pare, non è stata poi applicata da molti, compreso vari amministratori IT operanti presso istituti ospedalieri.

Siemens, da parte sua, ha iniziato ad avvertire i propri clienti martedì scorso, riguardo al fatto che alcuni dei suoi prodotti, relativi al brand Healthineers – una linea di dispositivi distribuiti negli ambienti clinici – sono interessati dalle vulnerabilità SMBv1, utilizzate per la conduzione della campagna ransomware WannaCry.

Siemens ha dichiarato, in particolare, che risultano vulnerabili tutte le versioni di Multi-Modality Workplace (.PDF) (MMWP) – una piattaforma di imaging prodotta da tale società, diffusa nei dipartimenti di radiologia degli ospedali – e tutte le versioni dei propri
Sistemi MAGNETOM MRI (.PDF) – tubi di risonanza magnetica di considerevoli dimensioni utilizzati per l’imaging in ambito ospedaliero.

La stessa società, sempre nella giornata di martedì 16 maggio, ha emesso un apposito bollettino di sicurezza, ed ha ugualmente pubblicato i relativi advisory, riguardanti entrambi i prodotti sopra citati.

Siemens ha sottolineato, nel proprio security bulletin, come la possibilità, per i malintenzionati, di “sfruttare” tali dispositivi dipenda in gran parte dal modo in cui i prodotti vengono configurati ed implementati – e come la società stia comunque allestendo gli aggiornamenti per i prodotti in causa. Nel frattempo, Siemens ha invitato i propri clienti ad isolare quei prodotti che “ascoltano” sulle porte TCP 139, 445 e 3389.

I ricercatori, in questi ultimi giorni, hanno osservato come le campagne WannaCry – oltre alle campagne malevole indirizzate al mining di criptovaluta – effettuino una vera e propria scansione di Internet in cerca dei target in cui la porta 445 risulti “esposta” – una pratica, quest’ultima, in genere non vista di buon occhio, per non dire ampiamente sconsigliata, da Microsoft. Eppure, Rapid7 ha affermato, mercoledì scorso, di aver rilevato oltre 800.000 dispositivi collegati ad Internet – provvisti di sistema operativo Windows – che, di fatto, esponevano il protocollo SMB attraverso la porta 445.

Oltre a disattivare la porta in questione, Siemens ha ugualmente chiesto agli utenti di fare in modo di isolare i prodotti interessati all’interno del loro rispettivo segmento di rete – e di assicurarsi, al tempo stesso, che tali apparecchiature dispongano sia di opportuni backup, sia di adeguate procedure per il ripristino del sistema.

Le raccomandazioni diramate dalla società hanno peraltro fatto eco alle opinioni espresse a più riprese, dagli esperti, durante la scorsa settimana, tra cui, ad esempio, il fatto di sostenere vivamente il patching delle macchine vulnerabili, e l’assicurarsi che i backup eseguiti siano effettivamente custoditi offline.

Siemens, tra l’altro, non è l’unico produttore di apparecchiature mediche che intenda rilasciare apposite patch volte a mitigare ulteriori infezioni informatiche generate dal malware WannaCry.

La società HITRUST (Health Information Trust Alliance), ha ad esempio riferito, lunedì scorso, che i dispositivi medici prodotti dalla conglomerata tedesca Bayer erano stati ugualmente coinvolti, nel corso del weekend, dalla fulminea diffusione di WannaCry. Il report stilato da HITRUST suggeriva, inoltre, che risultavano ugualmente coinvolti i dispositivi Siemens, come lasciavano del resto intendere le patch programmate, per le quali si prevede un’imminente release.

L’azienda in questione sta di fatto allestendo una patch destinata ai dispositivi basati sull’OS Windows, presumibilmente i sistemi attivi in campo radiologico, anch’essi colpiti dal temibile ransomware.

Mercoledì scorso, in effetti, un portavoce della società ha dichiarato a Threatpost che l’azienda stava lavorando per poter distribuire quanto prima la patch in questione, anche se, al momento, non era ancora disponibile la data esatta della release.

Mentre Siemens non avrebbe sostanzialmente confermato quanto asserito nel report di HITRUST – riguardo al fatto che i propri dispositivi siano effettivamente interessati dal malware WannaCry – la società ha ad ogni caso affermato di essere già all’opera, assieme ai clienti e al dipartimento digitale del National Health Service, per “porre rimedio all’attacco ransomware”.

“Stiamo lavorando a fianco dei nostri clienti, e di NHS Digital, sin dal momento stesso in cui siamo venuti a conoscenza, venerdì pomeriggio, dell’attacco ransomware. Si tratta di una situazione che si è venuta a creare da poco, ed il nostro obiettivo è quello di ripristinare al più presto l’operatività del sistema, senza comprometterne, tuttavia, il livello di qualità. Gli ingegneri stanno lavorando nei siti interessati, e rimarranno costantemente in contatto con i clienti, finché i sistemi non saranno ripristinati”, ha dichiarato la società.

WannaCry è stato ritenuto responsabile di aver interrotto, nel Regno Unito, i servizi erogati da numerose organizzazioni operanti nell’ambito del National Health Service (NHS) britannico, da quando il malware ha iniziato a manifestarsi, per la prima volta, nella giornata di venerdì 12 maggio.

Nel corso della passata settimana, anche Becton, Dickinson and Company (BD), altro noto produttore di dispositivi medicali ha messo opportunamente in guardia nei confronti di WannaCry, anche se in termini più generici. Tale società non ha specificato quale dei suoi prodotti (se ve ne sono) fosse interessato dalla campagna ransomware in corso, pur affermando che gli stessi supportano effettivamente Windows. Attraverso un bollettino di servizio relativo alla sicurezza dei prodotti, la società ha dichiarato di raccomandare agli utenti di applicare la patch di Microsoft riguardante la CVE-2017-0290, e di assicurarsi che, chiunque abbia in esecuzione Windows, disponga degli opportuni controlli di mitigazione per l’SMB.

Anche Rockwell Automation e ABB, società svizzera specializzata nella robotica e nell’automazione, attraverso appositi advisory hanno debitamente avvertito i propri utenti, la scorsa settimana, riguardo alla propagazione del famigerato ransomware.

Sebbene nessuna delle due società ritenga che il proprio software sia direttamente interessato, entrambe le aziende hanno tuttavia dichiarato che i sistemi su cui vengono eseguiti i loro prodotti, in ambiente Windows, risultano probabilmente coinvolti.

Al pari degli altri vendor, anche ABB ha esortato i propri clienti (.PDF) sia ad eseguire opportuni backup dei loro sistemi, sia a bloccare o limitare il File Sharing di Windows tramite il protocollo SMB.

Rockwell, che produce e distribuisce, principalmente, componenti utilizzati nell’ambito dei sistemi di controllo industriali (ICS) – quali monitor a schermo piatto, tubi a raggi catodici (CRT, Cathode Ray Tube) e computer per gli stabilimenti di produzione – ha rimandato i propri utenti al Security Bulletin MS17-010 emesso da Microsoft. Prima di implementare la patch rilasciata da Microsoft, l’azienda invita gli utenti a verificare la stessa nel quadro di un sistema non adibito alla produzione, per assicurarsi che non vi siano eventuali effetti collaterali indesiderati.

L’ICS-CERT, che ha pubblicato un avviso nella giornata di lunedì 15 maggio, poi aggiornato il martedì successivo, sta di fatto monitorando l’operato dei vendor specializzati nei sistemi di controllo industriali, quali Siemens e BD, che hanno provveduto a rilasciare apposite notifiche relativamente a WannaCry. Il team di esperti in questione sta sollecitando coloro che forniscono prodotti destinati al settore della sanità, a seguire le linee guida della FDA (Food and Drug Administration; l’Agenzia per gli Alimenti e i Medicinali statunitense) sulla cyber-sicurezza dei dispositivi medici, le quali indicano chiaramente che le aziende non necessitano di alcun controllo o valutazione da parte della FDA per apportare modifiche alle apparecchiature mediche, se attraverso tali modifiche si intende rafforzare il livello di sicurezza IT.

Dal canto suo, l’Electronic Healthcare Network Accreditation Commission (EHNAC), un’organizzazione indipendente che si occupa dello sviluppo di determinati standard e normative, e che sovrintende ai network elettronici utilizzati in campo sanitario, si è dimostrato particolarmente rapido nel mettere in guardia nei confronti di WannaCry, nella giornata di domenica 14 maggio. Tale commissione ha dichiarato che stava monitorando i controlli sulla privacy “nel quadro dei criteri di accreditamento, per mitigare la minaccia relativa a simili violazioni di dati, e per mettere al sicuro le informazioni sanitarie protette (Protected Health Information) gestite da coloro che operano nel settore della sanità”.

“Apprezziamo gli sforzi profusi dalle agenzie di sicurezza che stanno operando allo scopo di contenere e bloccare questo attacco, le quali stanno invitando tutti quanti a rivedere le proprie procedure relative alla privacy e alla sicurezza, e cercano di assicurarsi che gli utenti possano essere preparati nel modo migliore, per mitigare l’impatto delle eventuali future minacce”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *