Aujourd'hui, lors du 2024 Health-ISAC Fall Americas Summit, Censys a partagé les résultats des risques de cybersécurité affectant plus de 500 000 actifs en contact avec Internet dans plus d'une douzaine d'organisations de soins de santé à travers les États-Unis. Cette étude souligne le besoin urgent de ressources solides en matière de cybersécurité dans un secteur qui gère de vastes quantités de données personnelles et médicales sensibles.
Examen de l'infrastructure critique des soins de santé
En novembre 2024, Censys a procédé à un examen approfondi d'une douzaine d'organisations de soins de santé dans tout le pays. Cette analyse met en lumière les vulnérabilités systémiques du secteur de la santé, qui a de plus en plus adopté des outils numériques tels que la télémédecine, les applications mobiles, les portails patients et l'analyse des données de masse pour améliorer la prestation des soins et l'efficacité opérationnelle.
"Au cours de la dernière décennie, nous avons assisté à une explosion de la numérisation des systèmes de soins de santé afin de répondre à l'évolution des besoins des patients et des infrastructures", a déclaré Himaja Motheram, chercheur en sécurité, à l'adresse Censys. "Cela a accru la complexité de la sécurité des soins de santé, en introduisant un large éventail de systèmes d'intégration de données et de logiciels tiers qui peuvent être ciblés par les opérateurs de ransomware."
Lacunes en matière de cyber-hygiène
L'étude a mis en évidence un certain nombre de lacunes critiques en matière d'hygiène cybernétique, notamment des logiciels obsolètes, un chiffrement insuffisant et des configurations erronées, qui augmentent collectivement l'impact des cyberattaques.
L'étude a identifié les services web mal configurés comme le problème le plus répandu dans le secteur. Les certificats et protocoles de sécurité expirés, mal configurés ou manquants - essentiels à la protection des données des patients - étaient très répandus. En outre, de nombreuses organisations hébergeaient des environnements utilisant des logiciels en fin de vie, ce qui dénotait de mauvaises pratiques d'inventaire des actifs et élargissait considérablement leur surface d'attaque.
"Le problème le plus endémique dans le secteur de la santé est le manque d'hygiène cybernétique dans la configuration des services web exposés. Les tendances les plus inquiétantes concernent l'utilisation inappropriée de certificats, de protocoles et de politiques de contenu qui devraient être utilisés conjointement pour protéger les données des patients, mais qui sont soit expirés, soit mal configurés, soit totalement absents", a déclaré Michael Schwartz, directeur de la recherche et de l'analyse des menaces à l'adresse Censys. "Le nombre d'environnements de stockage en ligne apparents qui exécutent des logiciels en fin de vie et qui peuvent avoir été oubliés complique encore la situation ; cela indique généralement un problème global d'inventaire des actifs et augmente inutilement la surface d'attaque d'une organisation. Les vulnérabilités critiques et les vulnérabilités exploitées connues sont également présentes dans l'ensemble de l'industrie et, là encore, peuvent indiquer des problèmes de gestion de l'inventaire. Les mauvaises configurations de sécurité, les politiques de sécurité manquantes, les vulnérabilités non corrigées et les logiciels en fin de vie sont autant de cibles pour l'exploitation et constituent une recette pour l'accès non autorisé aux données et aux plateformes de soins de santé. "
Parmi ces résultats, Censys a constaté
Services exposés :Censys a identifié plus de 15 cas de services exposés, y compris RDP, TELNET, SMB et SNMP, qui pourraient être à risque. Ces services sont souvent ciblés par les attaquants pour différentes raisons - obtenir un accès à distance non autorisé (RDP, TELNET, SMB) ou faire de la reconnaissance de réseau (SNMP). L'exposition de ces services augmente la surface d'attaque des organismes de santé.
Vulnérabilités des logiciels :Des risques importants ont été identifiés dans des systèmes logiciels spécifiques, notamment des vulnérabilités connues dans les produits Ivanti Connect, Jenkins, Exim et OpenSSH. Notamment, il y avait plus d'une douzaine de cas de la vulnérabilité critique de Jenkins CVE-2024-23897, un risque sérieux qui est actuellement étiqueté dans le catalogue des vulnérabilités exploitées connues (KEV) de la CISA. En outre, une organisation avait près de 50 instances d'Ivanti Connect Secure exposées, un produit avec un long historique de CVE critiques, y compris CVE-2024-21894, CVE-2024-22052, CVE-2024-22053, et CVE-2024-22023.
"Au cours de l'année écoulée, nous avons vu un certain nombre de dispositifs de périphérie ciblés par des acteurs menaçants", a déclaré M. Schwartz, faisant référence au nombre de vulnérabilités critiques affectant certains des principaux fournisseurs de pare-feu et de réseaux privés virtuels.
Expositions au virus MOVEit :Les vulnérabilités de MOVEit MFT de l'année dernière ont été largement exploitées par des groupes de ransomware, notamment le groupe CL0P Ransomware. Censys a surveillé ces expositions au cours de l'année écoulée et a constaté que 30 % des organisations de soins de santé de l'échantillon ont encore collectivement 24 instances MOVEit exposées. Compte tenu de l'ampleur de la campagne d'exploitation, même les systèmes qui ne sont pas directement vulnérables ne devraient pas être exposés. Cela suggère que ces actifs exposés peuvent être inconnus ou non surveillés par leurs organisations respectives.
Certificats révoqués :Si la présence de plus de 800 certificats expirés est préoccupante, Censys a également détecté 30 certificats révoqués sur différents systèmes. Les certificats révoqués représentent un risque plus important et plus urgent, car il s'agit de certificats qui ont été marqués comme non fiables avant leur expiration prévue, souvent en raison d'une compromission ou d'une vulnérabilité. S'ils ne sont pas correctement gérés, ces certificats peuvent exposer les systèmes à des accès non autorisés et signaler des problèmes plus importants en matière de gestion des certificats et des accès.
Des problèmes tels qu'une faible sélection du chiffrement TLS, des en-têtes de sécurité manquants et des mécanismes d'authentification inadéquats ont également été constatés. En outre, plusieurs pages de connexion et services de courrier électronique POP3 n'étaient pas chiffrés, ce qui rendait les données sensibles vulnérables à l'interception.
Dispositifs et systèmes médicaux à risque
L'étude a révélé que les organismes de soins de santé ont collectivement exposé plus de 100 dispositifs et systèmes médicaux à l'internet public. Il s'agit notamment des systèmes de DME EPIC, de NextGen Healthcare Mirth Connect, de ResolutionMD PACS et du logiciel d'imagerie médicale XERO Viewer. Il est alarmant de constater que 90 % de ces expositions sont le fait d'un seul fournisseur, ce qui soulève des inquiétudes quant aux risques liés à la chaîne d'approvisionnement dans le secteur des soins de santé.
Lors de recherches antérieures menées cette année, Censys a identifié 14 004 adresses IP uniques exposant des dispositifs de soins de santé et des systèmes de données connectés à des informations médicales potentiellement sensibles sur l'internet public.
"Ces expositions soulignent la nécessité pour les organismes de santé de surveiller de près leurs dispositifs et systèmes médicaux connectés à l'internet et d'envisager de les sécuriser davantage à l'aide de pare-feu, de la segmentation du réseau et de l'AMF", a déclaré M. Motheram.
Partage d'informations
Censys a présenté cette étude aux organisations présentes au 2024 Health-ISAC Fall Americas Summit aujourd'hui, encourageant l'industrie à examiner les lacunes dans l'inventaire des actifs, les configurations de sécurité et la planification de la réponse aux incidents. En adoptant des stratégies de cybersécurité proactives et complètes, nous pouvons mieux protéger les données et les opérations des patients dans un paysage de plus en plus numérisé et ciblé.
