Netzwerk-Gateways am Krankenbett angreifbar | heise Security

Kritische Lücke in der Klinik: Netzwerk-Gateways am Krankenbett angreifbar


Alert!

30.08.2018 14:27 Uhr
Fabian A. Scherschel

Kritische Lücke in der Klinik: Netzwerk-Gateways am Krankenbett angreifbar

(Bild: Pixabay / heise online)

Capsule-Netzwerkgeräte der Firma Qualcomm Life verbinden Geräte am Krankenbett mit dem Krankenhaus-Netzwerk. Hier klafft eine kritische Sicherheitslücke.

Das ICS-CERT des US-Heimatschutzministeriums warnt vor einer kritischen Sicherheitslücke in der Capsule-Netzwerktechnik des Herstellers Qualcomm Life. Betroffen sind Netzwerk-Gateways, die in Krankenhäusern zum Einsatz kommen und dort klinische Geräte am Krankenbett mit der Krankenhaus-IT verbinden. Ein in diesen Systemen fest integrierter Web-Server kann über eine fast vier Jahre alte Sicherheitslücke kompromittiert werden, mit der ein Angreifer beliebigen Schadcode auf den Gateways ausführen kann. Der Hersteller hat ein Firmware-Update für einige der betroffenen Geräte bereitgestellt. Andere Produkte der Firma lassen sich nicht per Update absichern, hier müssen Administratoren stattdessen den verwundbaren Web-Server abschalten.

Bei der Sicherheitslücke (CVE-2014-9222) handelt es sich um die als Misfortune Cookie bezeichnete Schwachstelle im Web-Server RomPager der Firma AllegroSoft, welche die Sicherheitsfirma Check Point im Dezember 2014 öffentlich machte. Die damals als verwundbar identifizierten Rom-Pager-Ausgaben bis Version 4.34 kommen bis heute ungepatcht im Capsule Datacaptor Terminal Server (DTS) zum Einsatz. Der für die ursprüngliche Konfiguration der Geräte verwendete Web-Server kann mit einem entsprechend manipulierten HTTP-Cookie dazu gebracht werden, beliebigen Code in den Speicher des Gerätes zu schreiben – was wiederum zur Ausführung von Schadcode missbraucht werden kann.

Betroffen sind Single- und Dual-Board DTS-Systeme. Bei den seit 2009 auf dem Markt befindlichen Single-Board-Systemen können Administratoren ein Firmware-Update einspielen, welches von der Hersteller-Webseite bezogen werden kann und die Sicherheitslücke schließt. Auf Grund von technischen Beschränkungen lassen sich Dual-Board-Versionen des DTS allerdings nicht aktualisieren. Dort muss, ähnlich wie beim Produkt Capsule Digi Connect ES, der Webserver deaktiviert werden. Da dieser nach der Ersteinrichtung der Produkte nicht mehr verwendet wird, lässt sich dies ohne gravierende Nebenwirkungen bewerkstelligen. Weitere Informationen dazu, wie die Geräte abzusichern sind, finden sich bei der auf medizinische Geräte spezialisierten Sicherheitsfirma CyberMDX, welche die Schwachstelle in den DTS-Geräten entdeckt hatte.

(fab)

Source