Auf dem 2024 Health-ISAC Fall Americas Summit hat Censys heute die Ergebnisse von Cybersecurity-Risiken vorgestellt, von denen mehr als 500.000 internetfähige Anlagen in über einem Dutzend Gesundheitsorganisationen in den Vereinigten Staaten betroffen sind. Diese Untersuchung unterstreicht den dringenden Bedarf an robusten Cybersicherheitsressourcen in einer Branche, die große Mengen an sensiblen persönlichen und medizinischen Daten verwaltet.
Prüfung kritischer Infrastrukturen im Gesundheitswesen
Im November 2024 hat Censys ein Dutzend Gesundheitsorganisationen im ganzen Land eingehend untersucht. Diese Analyse wirft ein Licht auf systemische Schwachstellen im Gesundheitswesen, das zunehmend digitale Tools wie Telemedizin, mobile Apps, Patientenportale und Big-Data-Analysen einsetzt, um die Pflege und die betriebliche Effizienz zu verbessern.
"In den letzten zehn Jahren hat die Digitalisierung des Gesundheitswesens stark zugenommen, um den wachsenden Anforderungen der Patienten und der Infrastruktur gerecht zu werden", sagt Himaja Motheram, Security Researcher bei Censys. "Dies hat die Komplexität der Sicherheit im Gesundheitswesen erhöht, da eine Vielzahl von Datenintegrationssystemen und Software von Drittanbietern eingeführt wurde, die von Ransomware-Betreibern ins Visier genommen werden können."
Lücken in der Cyber-Hygiene
Die Studie ergab eine Reihe von kritischen Lücken in der Cyber-Hygiene, darunter veraltete Software, schwache Verschlüsselung und Fehlkonfigurationen, die zusammen die Auswirkungen von Cyber-Angriffen erhöhen.
Die Untersuchung ergab, dass falsch konfigurierte Webdienste das am weitesten verbreitete Problem in der Branche sind. Abgelaufene, falsch konfigurierte oder fehlende Sicherheitszertifikate und -protokolle, die für den Schutz von Patientendaten entscheidend sind, waren weit verbreitet. Darüber hinaus verfügten viele Unternehmen über Umgebungen mit abgelaufener Software, was auf eine mangelhafte Bestandsaufnahme der Anlagen hindeutet und die Angriffsfläche erheblich vergrößert.
"Das am weitesten verbreitete Problem im Gesundheitswesen ist ein Mangel an Cyber-Hygiene bei der Konfiguration offener Webdienste. Die besorgniserregendsten Trends betreffen die unsachgemäße Verwendung von Zertifikaten, Protokollen und Inhaltsrichtlinien, die zusammen verwendet werden sollten, um Patientendaten zu schützen, aber entweder abgelaufen oder falsch konfiguriert sind oder gänzlich fehlen", so Michael Schwartz, Director of Research and Threat Analysis bei Censys. "Noch komplizierter wird die Angelegenheit durch die Anzahl der offensichtlichen Online-Staging-Umgebungen, in denen abgelaufene Software läuft, die möglicherweise vergessen wurde. Kritische und bekanntlich ausgenutzte Schwachstellen sind ebenfalls in der gesamten Branche zu finden und können ebenfalls auf Probleme bei der Bestandsverwaltung hinweisen. Falsche Sicherheitskonfigurationen, fehlende Sicherheitsrichtlinien, nicht gepatchte Schwachstellen und veraltete Software sind allesamt Angriffsziele und ein Rezept für den unbefugten Zugriff auf Daten und Plattformen im Gesundheitswesen. "
Diese Ergebnisse wurden unter Censys veröffentlicht:
Gefährdete Dienste:Censys identifizierte über 15 Instanzen von gefährdeten Diensten, darunter RDP, TELNET, SMB und SNMP, die gefährdet sein könnten. Diese Dienste werden häufig von Angreifern zu verschiedenen Zwecken ins Visier genommen - um unerlaubten Fernzugriff zu erlangen (RDP, TELNET, SMB) oder um das Netzwerk auszuspähen (SNMP). Die Offenlegung solcher Dienste vergrößert die Angriffsfläche von Organisationen im Gesundheitswesen.
Software-Schwachstellen:In bestimmten Softwaresystemen wurden erhebliche Risiken festgestellt, darunter bekannte Schwachstellen in den Produkten Ivanti Connect, Jenkins, Exim und OpenSSH. Insbesondere gab es mehr als ein Dutzend Instanzen der kritischen Jenkins-Schwachstelle CVE-2024-23897, ein ernstes Risiko, das derzeit im KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgeführt ist. Darüber hinaus hatte eine Organisation fast 50 Instanzen von Ivanti Connect Secure ausgesetzt, einem Produkt mit einer langen Geschichte kritischer CVEs, darunter CVE-2024-21894, CVE-2024-22052, CVE-2024-22053 und CVE-2024-22023.
"Im letzten Jahr haben wir festgestellt, dass insbesondere eine Reihe von Edge-Geräten ins Visier von Bedrohungsakteuren geraten ist", so Schwartz, der sich dabei auf eine Reihe kritischer Schwachstellen bezieht, die einige der führenden Firewall- und VPN-Anbieter betreffen.
MOVEit-Belastungen:Die letztjährigen MOVEit MFT-Schwachstellen wurden in großem Umfang von Ransomware-Gruppen ausgenutzt, insbesondere von der CL0P Ransomware-Gruppe. Censys hat diese Schwachstellen im vergangenen Jahr überwacht und festgestellt, dass 30 % der befragten Organisationen im Gesundheitswesen insgesamt immer noch 24 MOVEit-Instanzen ausgesetzt sind. Angesichts des Ausmaßes der Ausbeutungskampagne sollten selbst Systeme, die nicht direkt anfällig sind, nicht gefährdet sein. Dies deutet darauf hin, dass diese exponierten Systeme möglicherweise unbekannt sind oder von den jeweiligen Organisationen nicht überwacht werden.
Widerrufene Zertifikate:Während das Vorhandensein von über 800 abgelaufenen Zertifikaten besorgniserregend ist, hat Censys auch 30 widerrufene Zertifikate in verschiedenen Systemen entdeckt. Widerrufene Zertifikate stellen ein größeres und dringlicheres Risiko dar, da es sich um Zertifikate handelt, die vor ihrem planmäßigen Ablauf als nicht vertrauenswürdig eingestuft wurden, häufig aufgrund einer Kompromittierung oder Schwachstelle. Wenn sie nicht ordnungsgemäß verwaltet werden, können sie dazu führen, dass Systeme unbefugten Zugriffen ausgesetzt sind, was auf größere Probleme bei der Zertifikats- und Zugriffsverwaltung hinweisen könnte.
Probleme wie eine schwache TLS-Chiffre-Auswahl, fehlende Sicherheits-Header und unzureichende Authentifizierungsmechanismen waren ebenfalls weit verbreitet. Darüber hinaus wurden mehrere Anmeldeseiten und POP3-E-Mail-Dienste als unverschlüsselt eingestuft, so dass sensible Daten abgefangen werden konnten.
Gefährdete medizinische Geräte und Systeme
Die Studie ergab, dass Gesundheitsorganisationen insgesamt über 100 medizinische Geräte und Systeme dem öffentlichen Internet ausgesetzt haben. Dazu gehörten EPIC EMR-Systeme, NextGen Healthcare Mirth Connect, ResolutionMD PACS und XERO Viewer Software für medizinische Bildgebung. Erschreckenderweise entfielen 90 % dieser Gefährdungen auf einen einzigen Anbieter, was Bedenken hinsichtlich der Risiken in der Lieferkette im Gesundheitswesen aufkommen lässt.
In früheren Untersuchungen in diesem Jahr hat Censys 14.004 eindeutige IP-Adressen identifiziert, über die Geräte und Datensysteme des Gesundheitswesens mit potenziell sensiblen medizinischen Informationen im öffentlichen Internet verbunden sind.
"Diese Gefährdungen machen deutlich, dass Organisationen des Gesundheitswesens ihre mit dem Internet verbundenen medizinischen Geräte und Systeme genau überwachen und sie mit Firewalls, Netzwerksegmentierung und MFA weiter absichern müssen", so Motheram.
Gemeinsame Nutzung von Informationen
Censys stellte diese Untersuchung heute auf dem 2024 Health-ISAC Fall Americas Summit vor und forderte die Branche auf, Lücken in der Bestandsaufnahme, den Sicherheitskonfigurationen und der Reaktionsplanung auf Vorfälle zu überprüfen. Durch die Einführung proaktiver und umfassender Cybersicherheitsstrategien können wir Patientendaten und Abläufe in einer zunehmend digitalisierten und zielgerichteten Umgebung besser schützen.
