PwnedPiper: Rohrpostsysteme in US-Krankenhäusern über Firmware-Lücken angreifbar

Sicherheitsforscher der Firma Armis haben acht kritische Schwachstellen in der Firmware eines in US-Krankenhäusern stark verbreiteten Rohrpostsystems entdeckt. Laut Armis hätten Angreifer die Schwachstellen missbrauchen können, um ohne jedwede Authentifizierung oder Nutzerinteraktion die vollständige Kontrolle über die Systeme zu übernehmen. Das Unternehmen Swisslog Healthcare hat am gestrigen Montag sieben der Schwachstellen mit einem Firmware-Update beseitigt; die achte soll in einem der kommenden Releases folgen.

Laut Armis wird das angreifbare Translogic PTS System – PTS steht für "Pneumatic Tube System" – in rund 80 Prozent der Krankenhäuser in den USA und in mehr als 3000 Krankenhäusern weltweit eingesetzt. Gegenüber einem Pressesprecher von Armis gab Swisslog Healthcare an, in Deutschland und der Schweiz ein anderes Rohrpostsystem anzubieten. Dieses sei von den Schwachstellen, die Armis unter dem Namen "PwnedPiper" zusammengefasst hat, nicht betroffen.

Ausgefeilte Erpressungsszenarien denkbar

Rohrpostsysteme werden in Krankenhäusern zum schnellen Transport etwa von Medikamenten und medizinischem Zubehör sowie Laborproben und Blutkonserven zwischen verschiedenen Abteilungen verwendet. Gelingt es einem Angreifer, die vollständige Kontrolle über diese wichtige Infrastruktur – und damit auch über den Inhalt sämtlicher Behälter – zu übernehmen, droht einerseits ein Datenleck sensibler (Patienten-)Informationen. Darüber hinaus wären aber auch besonders perfide Ransomware-Angriffe möglich, bei denen der Transportweg blockiert und lebenswichtige Ressourcen zurückgehalten werden könnten.

Die "Pwned Piper"-Firmware-Schwachstellen zielen auf die Kompromittierung des sogenannten "Nexus Control Panels", das den Rohrpoststationen ("Nexus Stations") aller aktuellen Translogic PTS-Modelle als grafisches Interface dient. Gelänge es einem entfernten Angreifer, sich, etwa über eine verwundbare IoT-Komponente, initialen Netzwerkzugriff zu verschaffen, könne er via Remote Code Execution zunächst eine Station übernehmen, erläutern die Forscher im Blogeintrag zu PwnedPiper. Auf Basis ausgelesener Informationen zur PTS-Infrastruktur könne er sich von dort aus mittels der Schwachstellen Station für Station durchs Netzwerk zu arbeiten. Wie ein Proof-of-Concept-Video im Blogeintrag am Beispiel eines harmlosen "einarmigen Banditen" zeigt, könnten im letzten Schritt die Nexus-Displays mit einer Erpresserbotschaft blockiert werden.

An Translogic-Systeme sind zusätzliche Services anbindbar, erläutern die Forscher. Dazu zählen das Zugriffskontrollsystem "WhoTube", über das sich das Krankenhauspersonal zum Zugriff auf bestimmte Behälter authentifizieren kann, Steuerungsmöglichkeiten der Geschwindigkeit, etwa für Express-Sendungen, sowie ein Alert-System für Liefer- und Warnhinweise. Diese Services, die eigentlich die Sicherheit und den Komfort erhöhen sollen, könnten im Zuge eines Angriffs missbraucht werden, um Personaldaten abzugreifen, interne Abläufe zu stören und Erpressungsversuche letztlich noch effizienter zu machen.

Hardgecodete Passwörter und unsignierte Firmware

Die neue Firmware-Version 7.2.5.7 für das Nexus Control Panel beseitigt laut Armis sieben der Schwachstellen. Swisslog Healthcare hat ein Statement zu PwnedPiper sowie eine Übersicht der CVE-IDs nebst Beschreibungen veröffentlicht.

PwnedPiper setzt sich aus folgenden Schwachstellen zusammen, die allesamt mit dem CVSS-Score 9.1 von 10 ("Critical") bewertet wurden:

• CVE-2021-37163: Zwei fest im Fimware-Code hinterlegte Passwörter für User- und Root-Accounts des (standardmäßig aktiven und nicht ohne weiteres abschaltbaren) Telnet-Servers
• CVE-2021-37167: Privilegienausweitung mittels eines Skripts
• CVE-2021-37161, CVE-2021-37162, CVE-2021-37164, CVE-2021-37165: Fehler in der Implementierung des TLP20-Protokolls, die für Remote Code Execution und Denial-of-Service (DoS) missbraucht werden könnten
• CVE-2021-37166: DoS-Schwachstelle im grafischen Interface
• CVE-2021-37160: Bislang nicht korrigiert: Firmware-Upgrades müssen weder signiert noch verschlüsselt sein, was Remote Code Execution über den Upgrade-Prozess ermöglicht.

Weitere technische Details beschreibt das Armis-Team in einem Whitepaper zu PwnedPiper. Darüber hinaus werden die Sicherheitsforscher Barak Hadad und Ben Seri ihre Erkenntnisse diese Woche bei einem Vortrag auf dieser diesjährigen Black Hat USA präsentieren.

• Whitepaper: Uncovering Vulnerabilities in Critical Infrastructure of Healthcare Facilities
• Black Hat USA 2021: Vortrag zu PwnedPiper

(ovw)