Für medizinisches Gerät ausstehende Patches von WannaCry attackiert

Ursprünglich wurde angenommen, dass nur Windows-Maschinen angreifbar sind, doch es ist wohl keine große Überraschung, dass auch medizinische Ausrüstung und industrielle Kontrollsysteme der Bedrohung durch den Ausbruch der WannaCry-Ransomware ausgesetzt waren.

In den letzten Tagen hat das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) des Ministeriums für Innere Sicherheit der Vereinigten Staaten gemeinsam mit verschiedenen Herstellern medizinischer Geräte begonnen, die Verbraucher vor dem Risiko zu warnen, das das Schadprogramm darstellt, und über Maßnahmen zur Schadensbegrenzung zu informieren, die von Krankenhäusern und Fabriken ergriffen werden sollten, die Software auf verwundbaren Windowsversionen mit aktiviertem SMBv1 laufen haben.

WannaCry, die Ransomware, die sich letzten Freitag ihren Weg durch das Internet bahnte, nutzt EternalBlue aus, einen entfernten Codeausführungsangriff, der auf eine gepatchte SMBv1-Sicherheitslücke in Windows abzielt. Ein Patch für diese Sicherheitslücke, die im April von der Hackergruppe ShadowBrokers öffentlich gemacht wurde, hat Microsoft bereits im März zur Verfügung gestellt, doch anscheinend wurde es noch nicht von vielen angewandt, auch nicht von IT-Administratoren in Krankenhäusern.

Siemens warnte seine Kunden erstmals am Dienstag, dass einige seiner Healthineers-Produkte – die Geräte aus der Medizin-Sparte des Unternehmens – von den SMBv1-Sicherheitslücken hinter der WannaCry-Kampagne betroffen sind.

Insbesondere sind laut Siemens alle Versionen des Multi-Modality Workplace(.PDF) (MMWP) des Unternehmens – einer Plattform für bildgebende Verfahren in den radiologischen Abteilungen von Krankenhäusern – sowie alle Versionen der MAGNETOM MRI Systeme(.PDF) des Unternehmens – wuchtige Magnetresonanzröhren zur Bildgebung in Krankenhäusern – gegenüber einem Angriff verwundbar.

Siemens hat am Dienstag ein Sicherheitsbulletin und einen Leitfaden für beide Produkte herausgegeben.

In dem Bulletin weist das Unternehmen ausdrücklich darauf hin, dass es in hohem Maße von der Art und Weise, wie die Geräte konfiguriert und bereitgestellt sind, abhängig ist, ob sie tatsächlich ausgenutzt werden können, dass aber an Updates für die Produkte noch gearbeitet werde. In der Zwischenzeit fordert Siemens seine Kunden auf, die Produkte zu isolieren, die auf den TCP-Ports 139, 445 und 3389 horchen.

In den letzten paar Tagen haben Forscher immer wieder WannaCry-Kampagnen beobachtet, die neben Kampagnen zum Fördern von Kryptowährung – das Internet nach Zielen mit offenem Port 445 absuchen – eine Praxis die allgemein von Microsoft verpönt ist. Trotzdem teilte Rapid7 am Mittwoch mit, dass das Sicherheitsunternehmen über 800,00 Geräte ausgemacht hätte, auf denen SMB über Port 445 verfügbar war.

Siemens forderte seine Nutzer nicht nur auf, den Port zu deaktivieren, sondern auch zu versuchen, die betroffenen Produkte innerhalb ihrer jeweiligen Netzwerksegmente zu isolieren und sicherzustellen, dass sie über Backups und Wiederherstellungsprozeduren verfügen.

Die Empfehlungen des Unternehmens waren eine Wiederholung der Meinungen, die Experten bereits vielfach im Laufe der Woche geäußert hatten, unter anderem die Aufforderung angreifbare Maschinen zu patchen und sicherzustellen, dass die Offline-Backups sicher und offline gespeichert sind.

Siemens ist nicht der einzige Hersteller von medizinischer Ausrüstung, der die Herausgabe von Patches plant, um weitere WannaCry-Infektionen abzumildern.

HITRUST, die Health Information Trust Alliance, berichtete am Montag, dass auch die medizinischen Geräte von Bayer im Laufe des Wochenendes von WannaCry betroffen waren. Der Bericht von HITRUST weist darauf hin, dass Siemens-Geräte – wie die in Kürze entscheidenden Patches vermuten lassen – ebenfalls betroffen sind.

Das Unternehmen hat die Entwicklung eines Patches für Windows-basierte Geräte – vermutlich radiologische Systeme -, die von der Ransomware angegriffen wurden, noch nicht abgeschlossen.

Ein Sprecher des Unternehmens erklärte am Mittwoch gegenüber Threatpost, dass es daran arbeite, das Patch baldmöglichst bereitzustellen, allerdings noch keinen fixen Veröffentlichungstermin habe.

Während Siemens den HITRUST-Bericht über die Verwicklung seiner Geräte in die WannaCry-Kampagne nicht bestätigt hat, ließ das Unternehmen verlauten, dass es Seite an Seite mit den Kunden und der digitalen Abteilung des National Health Service arbeite, um die „Ransomware-Attacke“ zu beheben.

„Seitdem wir am Freitagnachmittag erstmals Kenntnis von der Ransomware-Attacke erhielten, arbeiten wir eng mit unseren Kunden und NHS Digital zusammen. Das ist eine aufkommende Situation und wir konzentrieren uns darauf, den Systembetrieb so schnell wie möglich wiederherzustellen, ohne Abstriche bei der Qualität zu machen. Ingenieure haben an den betroffenen Systemen gearbeitet und werden ununterbrochen mit den Kunden in Kontakt bleiben, bis die Systeme wiederhergestellt sind“, hieß es aus dem Unternehmen.

Die Schadsoftware WannaCry wird dafür verantwortlich gemacht, Dienste innerhalb von NHS-Organisationen im Vereinten Königreich außer Gefecht gesetzt zu haben, als sie erstmals am vorvergangenen Freitag seine schädlichen Runden zog.

Der Hersteller von medizinischem Gerät Becton, Dickinson and Company (BD) warnte vergangene Woche ebenfalls vor WannaCry, allerdings auf eher allgemein Weise. Das Unternehmen spezifizierte nicht, welche seiner Produkte – wenn überhaupt – betroffen sind, verkündete jedoch, dass sie Windows unterstützen. In einem Produktsicherheitsbulletin empfahl der Hersteller seinen Nutzern, das CVE-2017-0290-Patch von Microsoft anzuwenden und sicherzustellen, dass Risikokontrollmechanismen für SMB unter Windows bereitstehen.

Rockwell Automation und ABB, ein Schweizer Automatisierungstechnikkonzern, warnten vergangene Woche ebenfalls vor der Schadsoftware.

Während keins der beiden Unternehmen glaubt, seine Software sei direkt in die Kampagne verwickelt, waren beide der Meinung, dass Systeme, auf denen ihre Produkte unter Windows laufen, vermutlich betroffen sind.

Wie andere Hersteller auch, forderte ABB seine Kunden auf (.PDF), Backups ihrer Systeme zu erstellen, MS17-010 zu installieren und Windows File Sharing via SMB-Protokoll zu blockieren oder einzuschränken.

Rockwell, ein Unternehmen, das in erster Linie industrielle Kontrollkomponenten wie Flachbildschirme, CRTs und Computers für Fertigungsanlagen produziert, verwies die Nutzer auf Microsofts MS17-010 Security Bulletin. Das Unternehmen schlägt den Nutzern vor, das Patch von Microsoft zunächst auf einem Nicht-Produktionssystem auszuprobieren, um sicherzustellen, dass es keine unerwünschten Nebeneffekte mit sich bringt.

Das ICS-CERT, das am vergangenen Montag eine Warnung veröffentlichte und diese am Dienstag aktualisierte, behält die Hersteller von industriellen Kontrollsystemen, die Warnmitteilungen zu WannaCry veröffentlicht haben, wie Siemens und BD, weiterhin im Auge. Das Team bittet die Gesundheitsdienstleister dringend, der Richtlinie der amerikanischen Arzneimittelzulassungsbehörde (FDA) zur Cybersicherheit von medizinischem Gerät zu folgen, die besagt, dass keine Überprüfung durch die FDA notwendig ist, wenn Unternehmen Änderungen an medizinischen Geräten vornehmen, sofern diese der Stärkung der Cybersicherheit dienen.

Die Electronic Healthcare Network Accreditation Commission (EHNAC), eine autonome Normungs-Organisation, die die elektronischen Gesundheitsnetzwerke beaufsichtigt, hat bereits am vorvergangenen Sonntag vor WannaCry gewarnt. Seitens der Kommission hieß es, sie halte sich an die Datenschutzmaßnahmen „innerhalb der Zulassungskriterien, um die Bedrohung durch derartige Datenlecks zu mindern und die von den Verantwortlichen im Gesundheitswesen verwalteten geschützten personenbezogenen Daten zu sichern.“

„Wir begrüßen die Anstrengungen der Sicherheitsbehörden, diese Attacke einzudämmen und zu stoppen und wir fordern alle auf, ihre Datenschutzprozeduren und Sicherheitsabläufe zu überprüfen und sicherzustellen, dass sie bestens vorbereitet sind, um die Auswirkungen künftiger Bedrohungen möglichst gering zu halten.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.