Correctifs en attente pour les dispositifs médicaux touchés par WannaCry

Au début, l’idée généralement admise était que seuls les ordinateurs Windows étaient vulnérables, mais il ne faut pas être surpris de voir que les dispositifs médicaux et les systèmes de contrôle industriels aient été également exposés aux dangers de l’explosion d’activité du ransomware WannaCry.

Au cours de ces derniers jours, l’équipe d’intervention en cas d’urgence informatique spécialisée dans les systèmes de contrôle industriels (ICS-CERT) du Département de la Sécurité intérieure des Etats-Unis ainsi que plusieurs fabricants de dispositifs médicaux ont commencé à prévenir les consommateurs au sujet des risques posés par le malware et à indiquer les mesures d’atténuation que doivent adopter les hôpitaux et les entreprises qui installent des logiciels sur des versions vulnérables de Windows avec SMBv1 activé.

WannaCry, qui s’est répandu vendredi sur Internet, exploite EternalBlue, une attaque par exécution de code à distance qui cible une vulnérabilité SMBv1 dans Windows pour laquelle il existe un correctif. Microsoft avait diffusé en mars un correctif pour cette vulnérabilité, divulguée en avril par les ShadowBrokers, mais il semblerait que le nombre d’utilisateurs qui a installé ce correctif, y compris des administrateurs informatique dans les hôpitaux, est réduit.

Mardi, Siemens a lancé une campagne d’avertissement auprès de ses clients pour leur signaler que certains de ses produits Healthineers, une gamme de dispositifs déployés dans les environnements cliniques, sont touchés par les vulnérabilités SMBv1 à l’origine de la campagne WannaCry.

Plus particulièrement, Siemens a indiqué que toutes les versions de Multi-Modality Workplace (.PDF) (MMWP) de Siemens, une plateforme d’imagerie adoptée par les services de radiologie des hôpitaux ainsi que toutes les versions de MAGNETOM MRI Systems (.PDF), les grands tubes de résonance magnétique employés pour l’imagerie médicale, sont vulnérables.

La société a publié un bulletin de sécurité ainsi que des avis pour les deux produits mardi.

Dans le bulletin, Siemens attire l’attention des utilisateurs sur le fait que la possibilité d’exploiter les dispositifs dans le cadre de cette attaque dépend en grande partie de la manière dont les produits ont été configurés et déployés, mais que la société prépare malgré tout des mises à jour pour les produits. En attendant, la société encourage ses clients à isoler les produits qui écoutent sur les ports TCP 139, 445 et 3389.

Au cours des derniers jours, les chercheurs ont observé les campagnes WannaCry, en plus des campagnes d’extraction de cryptodevises , en balayant Internet à la recherche de cibles où le port 445 est exposé, une pratique que Microsoft n’apprécie pas et déconseille. Toujours est-il que Rapid7 a annoncé mercredi qu’elle avait vu plus de 800 00 dispositifs sous Windows qui exposaient SMB via le port 445.

Outre la désactivation du port, Siemens a également demandé à ses clients de fournir des efforts afin d’isoler les produits touchés au sein de leur segment respectif du réseau et de veiller à disposer de sauvegardes et de procédures de restauration du système.

Les recommandations de la société font échos aux sentiments exprimés par les experts à plusieurs reprises au cours de cette semaine, à savoir encourager l’application des correctifs sur les ordinateurs vulnérables et confirmer que toutes les sauvegardes hors ligne sont en sécurité et stockées hors ligne.

Siemens n’est pas le seul fabricant de dispositifs médicaux qui a l’intention de diffuser des correctifs pour réduire le risque d’infections complémentaires de WannaCry.

HITRUST, la Health Information Trust Alliance, signalait lundi que des dispositifs médicaux fabriqués par le conglomérat allemand Bayer avaient également été touchés par WannaCry au cours du week-end. Le rapport de HITRUST suggère que des dispositifs de Siemens ont également été impliqués, comme le suggère la diffusion prochaine de correctifs.

L’entreprise prépare un correctif pour des dispositifs Windows, des systèmes de radiologie, qui ont également été touchés par le ransomware.

Un porte-parole de Siemens a déclaré mercredi à Threatpost que tout était mis en œuvre pour déployer le correctif rapidement, mais qu’aucune date de diffusion n’avait été déterminée.

Alors que Siemens n’a pas voulu confirmer le rapport de HITRUST selon lequel ses dispositifs étaient touchés par WannaCry, la société a reconnu qu’elle coopérait avec ses clients et le service Numérique du National Health Service afin de trouver une solution aux « attaques du ransomware ».

« Nous avons coopéré avec nos clients et le service Numérique du NHS dès que nous avons pris connaissance de l’attaque du ransomware vendredi après-midi. Cette situation est récente et notre priorité est la restauration du fonctionnement des systèmes, le plus rapidement possible, sans compromettre la qualité. Nos ingénieurs sont intervenus sur les sites touchés et resteront en contact avec nos clients jusqu’à ce que tous les systèmes ont été rétablis » a déclaré la société.

WannaCry serait le responsable de l’interruption des services dans des dizaines d’organisations rattachées au NHS en Grande-Bretagne où l’attaque a début vendredi.

Le fabricant de dispositifs médicaux Becton, Dickinson et Company (BD) a également sonné l’alarme au sujet de WannaCry cette semaine, mais dans un sens plus général. La société n’a pas précisé lesquels de ses produits avaient été touchés mais elle a indiqué qu’elle offrait une prise en charge de Windows. Dans un bulletin de sécurité, la société recommande à ses clients d’appliquer le correctif CVE-2017-0290 de Microsoft et de veiller à ce que toute personne qui utilise Windows dispose de contrôles d’atténuation pour SMB.

Rockwell Automation et ABB, une société suisse de robotique et d’automation, ont également émis des avertissements cette semaine au sujet du malware.

Alors qu’aucune des deux sociétés n’estime que ses logiciels sont directement concernés, elles affirment que les systèmes qui exécutent ces produits sous Windows sont probablement concernés.

A l’instar d’autres fabricants, ABB a encouragé ses clients (.PDF) a réalisé une sauvegarde de leurs systèmes, à installer MS17-010 et à bloquer ou à limiter le partage de fichiers Windows via le protocole SMB.

Rockwell, qui produit principalement des composants de contrôle industriel comme des écrans de commande plats, tubes cathodiques ou des ordinateurs pour entreprise, a renvoyé ses clients au bulletin de sécurité MS17-010 de Microsoft. Avant d’appliquer le correctif de Microsoft, la société encourage ses clients à le tester sur un système isolé afin de confirmer l’absence d’effets secondaires indésirables.

L’ICS-CERT, qui a publié une alerte lundi et une mise à jour mardi, assure le suivi des fabricants de système de contrôle industriel comme Siemens et BD qui ont publié des avis sur WannaCry. L’équipe encourage les acteurs du secteur des soins de santé à suivre les consignes de la FDA sur la cybersécurité des dispositifs médicaux qui rappellent que les sociétés peuvent modifier les dispositifs médicaux sans révision de la FDA si l’objectif est le renforcement de la cybersécurité.

L’Electronic Healthcare Network Accreditation Commission, une organisation autonome de mise au point de normes qui supervise les réseaux de santé électroniques, a rapidement mis la communauté en garde contre WannaCry dimanche. La commission a indiqué qu’elle surveillait les contrôles de la vie privées « au sein des critères de l’accréditation afin d’atténuer la menace de fuites de données similaires et de garantir la sécurité des informations de santé protégées gérées par les acteurs des soins de santé. »

« Nous applaudissons les efforts des agences de sécurité qui mettent tout en œuvre pour contenir et arrêter ces attaques et nous encourageons toutes les parties concernées à revoir leurs procédures de sécurité et vie privée et à confirmer qu’elles sont préparées pour atténuer l’impact des menaces à venir. »

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *