Ernstige kwetsbaarheid in Hillrom Welch Allyn SSO-cardio-apparatuur

HillromOp vrijdagavond 10 december 2021 bereikte mij een dringend bericht. Cardiologische apparatuur van het merk Hillrom Welch Allyn dat gebruik maken van Single Sign-On(SSO) blijkt zeer kwetsbaar te zijn voor hackpogingen. Het Amerikaanse Cybersecurity & Infrastructure  Security Agency(CISA) gaf op 9 december een gedetailleerde waarschuwing. Het gaat om de configuratie waarin men meerdere cardiologische diagnose-apparaten in een zorginstelling voor het gemak van de gebruikers gekoppeld heeft aan server om in te loggen. Dat is dan de Welch Allyn host met single sign-on service. De authenticatie bij dat systeem zorgt dan dat op de gekoppelde diagnose-apparatuur niet apart ingelogd hoeft te worden. Die SSO-server staat ook in verbinding met het ziekenhuisinformatiesysteem(ZIS). Het compromitteren van die SSO-faciliteit maakt echter dat het een hacker ook het ZIS kan binnendringen en daar data kan stelen of blokkeren door malware. In Nederland gebruikt me dit type apparatuur ook vaak. Aktie is dus dringend noodzakelijk.

Waarschuwing

CISA geeft aan dat de volgende Hillrom Welch Allyn apparaten, indien gekoppeld aan een single sign-on-voorziening aangedaan zijn:

  • Welch Allyn Q-Stress Cardiac Stress Testing System: Versions 6.0.0 through 6.3.1
  • Welch Allyn X-Scribe Cardiac Stress Testing System: Versions 5.01 through 6.3.1
  • Welch Allyn Diagnostic Cardiology Suite: Version 2.1.0
  • Welch Allyn Vision Express: Versions 6.1.0 through 6.4.0
  • Welch Allyn H-Scribe Holter Analysis System: Versions 5.01 through 6.4.0
  • Welch Allyn R-Scribe Resting ECG System: Versions 5.01 through 7.0.0
  • Welch Allyn Connex Cardio: Versions 1.0.0 through 1.1.1

Het probleem dat ontstaat door de kwetsbaarheid in het gekoppelde SSO-systeem is dat, hoewel het diagnose-apparaat in principe authenticatie vereist, er een alternatieve route voor hackers bestaat die geen authenticatie vereist.  Het heeft dus te maken met de beveiligingstactiek van de systeemarchitectuur die men gebruikt in de zorginstelling. CISA laat weten dat het gaat om de kwetsbaarheid CVE-2021-43935 met een CVSS v3 base score  van 8,1 op een schaal van 10.

Acties en aanbevelingen(Hillrom Welch Allyn)  

Hillrom heeft het voornemen om software-updates in hun eerstvolgende software-release uit te brengen om deze kwetsbaarheid aan te pakken.

Hun advies is:

  • Disable the SSO feature in the respective Modality Manager Configuration settings. Please refer to the instructions for use (IFU) and/or service manual for instructions on how to disable SSO.

 Hillrom beveelt gebruikers aan om softwareupdates toe te passen zodra die beschikbaar zijn. Informatie over hoe men die producten moet updaten is te vinden op de Hillrom disclosure page.

 Hillrom beveelt de volgende extra workarounds aan om het risico te reduceren:

  • Apply proper network and physical security controls.
  • Apply authentication for server access.

Acties en aanbevelingen(CISA)  

CISA beveelt gebruikers aan om defensieve maatregelen te nemen om het risico te minimaliseren dat hackers deze kwetsbaarheid uitbuiten. Gebruikers zouden specifiek het volgende moeten doen.

  • Minimize network exposure for all control system devices and/or systems, and ensure that they are not accessible from the Internet.
  • Locate control system networks and remote devices behind firewalls, and isolate them from the business network.
  • When remote access is required, use secure methods, such as Virtual Private Networks (VPNs), recognizing VPNs may have vulnerabilities and should be updated to the most current version available. Also recognize VPN is only as secure as its connected devices.

Tenslotte herinnert de CISA organisaties en bedrijven om een passende impact-analyse en risico-inschatting te maken voordat men defensieve maatregelen gaat nemen.

Gebruiksgemak heeft een prijs

Het bovenstaande laat zien dat gebruiksgemak ook een duidelijke schaduwzijde heeft. Kwetsbaarheden in software op een SSO-server binnen een systeemarchitectuur met veel onderlinge koppelingen veroorzaakt een porte d’ entrée voor kwaadwilligen. Het belangrijkste nu is aktie te ondernemen.

W.J. Jongejan, 12 december 2021

Afbeelding van Sarah Richter via Pixabay