Casi la mitad de los dispositivos hospitalarios conectados todavía están expuestos a la vulnerabilidad de Windows BlueKeep, casi un año después de su anuncio, según un informe publicado esta semana.
El informe, llamado 2020 Vision: A Review of Major IT & Cyber Security Issues Affecting Healthcare, realizado por CyberMDX, que proporciona sistemas de ciberseguridad para hospitales.
Dice que el 22% de los dispositivos Windows de un hospital típico están expuestos a BlueKeep. La proporción de dispositivos Windows conectados a una red que son vulnerables es mucho mayor, un 45%, añade.
CyberMDX obtiene este tipo de métricas a través de su propia plataforma, que le informa sobre las máquinas que está protegiendo. Nos dijeron que han analizado un poco más de un millón de puntos de datos recopilados de máquinas en cientos de instalaciones.
BlueKeep, del que se informó por primera vez en mayo de 2019, es un gusano, lo que significa que un atacante puede activarlo sin interacción humana. Un exploit podría propagarse al enviar paquetes maliciosos a través del Protocolo de Escritorio Remoto (RDP) al Servicio de Escritorio Remoto (RDS) de Microsoft.
Afectó a Windows 7 y Windows Server 2008, y Microsoft emitió parches cuando notificó el error por primera vez. Sin embargo, al igual que con muchos parches, a las empresas les ha llevado mucho tiempo implementar, y hay una “larga cola” de máquinas aún en línea y vulnerables.
El problema no solo radica en BlueKeep. Según el informe de CyberMDX, el 25% de los dispositivos conectados en los hospitales también están expuestos a otra vulnerabilidad: DejaBlue.
Las noticias sobre DejaBlue aparecieron en agosto cuando Microsoft parcheó otros dos errores RDP, esta vez afectando las versiones de Windows que incluyen Windows 10. Estos errores, CVE-2019-1181 y 1182, también son gusanos.
Al igual que BlueKeep, el error se podía explotar utilizando un mensaje RDP creado con fines malintencionados. Las buenas noticias para algunos usuarios es el uso de la autenticación de nivel de red (NLA), que cuando se activa requiere autenticación antes de que un ciberatacante pueda desencadenar un asalto. Sin embargo, si el atacante tiene credenciales válidas, aún podría desarrollarlo.
La actualización de dispositivos es un problema especial en la sanidad según el informe de CyberMDX, que sugiere que algunos dispositivos necesitan kits de herramientas especializadas o conocimientos específicos para modificar su código. Las regulaciones también pueden poner obstáculos en el camino de una empresa de atención médica al parchear estos dispositivos.
Sin embargo, esas no son las únicas razones de las actualizaciones insuficientes. Podemos ver la investigación de la Oficina Nacional de Auditoría del Reino Unido sobre WannaCry, otro ataque basado en gusanos que puso de rodillas al servicio nacional de salud del Reino Unido en 2017, para obtener algunas respuestas. Ese documento decía que la mayoría de los sistemas afectados eran cajas sin parches aún con contratos de soporte.
No había un mecanismo formal para verificar que los parches recomendados habían sido implementados cuando llegó WannaCry, según el documento. Después del ataque, se admitió que se necesitaba una forma de garantizar que las organizaciones actuaran sobre las alertas que el NHS enviara, que incluían la aplicación de parches de software. Por lo tanto, hacer cumplir las mejores prácticas parece ser un problema para las grandes burocracias sanitarias.
Jon Rabinowitz, vicepresidente de marketing de CyberMDX, confirmó que la visibilidad es un problema para los hospitales:
Parchear dispositivos médicos es un desafío al que los hospitales se enfrentan constantemente. Muchos hospitales carecen de la visibilidad de activos necesaria para identificar de manera centralizada los dispositivos vulnerables. Algunos dispositivos ejecutan múltiples sistemas operativos y la mayoría de los SIEM no podrán capturar y comunicar adecuadamente esta información a los equipos de TI / IS.
También está la cuestión de identificar la versión exacta del sistema operativo que se está ejecutando, así como señalar qué parches y actualizaciones se han instalado en todo el ciclo de vida del dispositivo / software. Esto requiere un nivel de granularidad que normalmente no existe en la estructura estándar para las operaciones de TI del hospital.
El NHS había desarrollado un plan de respuesta de ciberseguridad tras las advertencias del gobierno sobre la posibilidad de un ataque, pero aún no lo había implementado, agregó el informe de la NAO.
Dejar un comentario