Er zijn ernstige kwetsbaarheden gevonden door Forescout in enkele duizenden verschillende apparaten die gebruikt worden in onder andere de zorg. Nucleus:13 is een kwetsbaarheid in Nucleus NET, de tcp/ip-stack van het Nucleus Real-time Operating System. Nucleus RTOS wordt gebruikt in bijvoorbeeld ventilatiesystemen, bloeddrukmeters en infuuspompen van Siemens.
Volgens de fabrikant maken ruim 3 miljard devices gebruik van de software, waaronder een groot aantal MediaTek IoT-controllers en baseband-processors. Daardoor zijn allerlei systemen in verschillende branches kwetsbaar, met mogelijk dodelijke gevolgen. De ernstigste van de 13 kwetsbaarheden is CVE-2021-31886 met een score van 9,8; hierbij wordt de lengte van een commando niet gecontroleerd waardoor een buffer overflow kan ontstaan. Dit kan leiden tot denial-of-service en remote code execution.
Siemens heeft afgelopen dinsdag een beveiligingsupdate beschikbaar gesteld om deze kwetsbaarheden te verhelpen. Aangezien sommige embedded devices moeilijk bijgewerkt kunnen worden wordt ook aanbevolen de betreffende netwerken beter te beveiligen.
De onderzoekers hebben een aanval nagebootst, zoals te zien in een YouTube-video. In de simulatie namen ze de controle over op een ventilatiesysteem en een smart lamp in een operatiekamer. Bij dit voorbeeld heeft de aanvaller lokale toegang nodig, dit is niet bij alle apparaten het geval. De aanvaller sluit zijn apparatuur vervolgens aan op het lokale netwerk waar deze apparaten aan verbonden zijn en misbruikt de kwetsbaarheden waardoor zowel de lamp als het ventilatiesysteem uitvallen. In een ander voorbeeld wordt een automatisch stopsysteem voor een trein bij het naderen van een spoorwegovergang uitgeschakeld, waardoor het Playmobil-poppetje aangereden wordt.
Bron: Z-CERT
