فکرش را بکنید اگر یک هکر می‌توانست از طریق فایل‌های تصویربرداری پزشکی به سرورهای بیمارستانی نفوذ کند و اطلاعات حساس بیماران را به سرقت ببرد چه اتفاقاتی می افتاد؟ اما این دیگر یک سناریوی ذهنی نیست! آسیب‌پذیری جدیدی که به تازگی با شناسه CVE-2024-42845  شناسایی شده، نشان می‌دهد که چگونه نقاط ضعف کوچک در نرم‌افزارهای پزشکی می‌توانند پیامدهای فاجعه‌باری برای امنیت سایبری به همراه داشته باشند.

این نقص در استاندارد پرکاربرد DICOM  (تصویربرداری دیجیتال و ارتباطات در پزشکی) به مهاجمان اجازه می‌دهد از طریق تزریق کد، کنترل سیستم‌های حساس پزشکی را به دست گیرند. در این مقاله به جزئیات این آسیب‌پذیری، نحوه بهره‌برداری و راه‌های جلوگیری از حملات مشابه می‌پردازیم.

آسیب‌پذیری CVE-2024-42845 چیست؟

این آسیب‌پذیری کشف‌شده در یک ابزار open source پزشکی به مهاجمان امکان می‌دهد با دستکاری فایل‌های DICOM، کد مخرب را اجرا کنند. این فایل‌ها که برای ذخیره و انتقال تصاویر پزشکی طراحی شده‌اند، به طور گسترده در بیمارستان‌ها و کلینیک‌ها استفاده می‌شوند. مهاجم می‌تواند از این نقص برای دسترسی به اطلاعات حساس یا حتی اختلال در فرآیندهای تشخیصی استفاده کند.

چگونه این آسیب‌پذیری قابل بهره‌برداری است؟

این آسیب‌پذیری ناشی از استفاده از تابع (eval)  در کد نرم‌افزار است. مهاجمان می‌توانند با افزودن کدهای مخرب به فایل‌های DICOM، از این تابع سوءاستفاده کنند. به عنوان مثال:

• مهاجم کدی را به بخش مختصات تصویر اضافه می‌کند.
• نرم‌افزار هنگام پردازش فایل، کد مخرب را اجرا می‌کند.
• این می‌تواند منجر به سرقت داده‌ها یا حتی اجرای بدافزار شود.

نمونه‌ای از کد مخرب که می‌تواند توسط مهاجم استفاده شود:

import pydicom

import base64

def encode_payload(plain_payload):

    data = open(plain_payload, 'rb').read()

    return f"exec(import('base64').b64decode({base64.b64encode(data)})"

بعنوان مثال فرض کنید که مهاجمی می‌خواهد به سرور یک بیمارستان نفوذ کند. او یک فایل DICOM آلوده ایجاد می‌کند که به ظاهر یک تصویر پزشکی عادی است، اما در واقع حاوی یک کد مخرب در بخش اطلاعات متنی (Tag) آن است. این کد مخرب درون تگ استاندارد (0x0020, 0x0032)  ذخیره شده که معمولاً برای مشخص کردن مختصات تصاویر استفاده می‌شود.

سناریوی حمله:

1. مهاجم فایل DICOM دستکاری‌شده را به بیمارستان ارسال می‌کند (به عنوان مثال، از طریق یک ایمیل فیشینگ یا بارگذاری در سیستم).
2. کاربر بیمارستانی (مثلاً یک پزشک یا تکنسین رادیولوژی) فایل را در نرم‌افزار باز می‌کند تا تصاویر را مشاهده کند.
3. نرم‌افزار بدون بررسی دقیق، مقدار موجود در Tag (0x0020, 0x0032) را با استفاده از تابع (eval) پردازش می‌کند.
4. این تابع کد مخرب ذخیره‌شده در فایل را اجرا می‌کند.

بیشتر بخوانید: خطر امنیتی در شبکه‌های ارز دیجیتال! هشدارهایی درباره آسیب‌پذیری‌های خطرناک در دوج‌کوین، لایتنینگ و پروتون

پیامدهای این آسیب‌پذیری برای بخش سلامت

سرقت اطلاعات بیماران:  داده‌های شخصی و حساس می‌تواند در معرض خطر قرار گیرد.

اختلال در تشخیص پزشکی:  مهاجمان می‌توانند اطلاعات تصویری را تغییر دهند یا حذف کنند.

خسارات مالی:  حملات سایبری در این مقیاس می‌توانند خسارت های مالی سنگینی به بیمارستان‌ها وارد کنند.

گزارش محقق و واکنش جامعه امنیت سایبری

به گفته کارشناس امنیتی Partywave، این آسیب‌پذیری با گزارش‌دهی مسئولانه کشف و رفع شد. اما این حادثه یک زنگ خطر برای توسعه‌دهندگان نرم‌افزارهای پزشکی است!

چگونه از سیستم‌های تصویربرداری محافظت کنیم؟

• به‌روزرسانی نرم‌افزار:  اطمینان پیدا کنید که از آخرین نسخه‌های نرم‌افزارها استفاده می‌کنید.
• اعتبارسنجی ورودی‌ها:  از توابعی مانند (eval) استفاده نکنید یا آن‌ها را محدود کنید.
• آموزش کارکنان:  تیم‌های فناوری اطلاعات و پزشکی بایستی با ریسک‌های امنیتی آشنا باشند.

محورهای آموزش کارکنان عبارتند از :

شناخت آسیب‌پذیری‌ها و حملات احتمالی

کارکنان باید با مفاهیمی مانند آسیب‌پذیری آشنا شوند و بدانند که چگونه حملاتی مشابه این نوع حملات می‌توانند بر سیستم‌های پزشکی تأثیر بگذارند.

تشخیص ایمیل‌های فیشینگ و فایل‌های مشکوک

بسیاری از حملات سایبری از طریق ایمیل‌های فیشینگ آغاز می‌شوند. کارکنان باید یاد بگیرند که چگونه ایمیل‌های مشکوک را شناسایی کنند و به ضمیمه‌های غیرمنتظره فایل‌ها، حتی اگر از منابع آشنا باشند، مشکوک شوند. بعنوان مثال اگر فایل DICOM از یک منبع ناشناخته ارسال شود، قبل از باز کردن آن باید توسط تیم فناوری اطلاعات بررسی شود.

به‌روزرسانی نرم‌افزار و استفاده از نسخه‌های امن

به تکنسین‌ها آموزش دهید که چگونه مطمئن شوند نسخه نرم‌افزار تصویربرداری آن‌ها آخرین نسخه است و تأکید کنید که هرگونه تأخیر در به‌روزرسانی، سیستم را در معرض حمله قرار می‌دهد.

ایمن‌سازی شبکه و پروتکل‌های انتقال داده

کاربران باید بیاموزند که چگونه از داده‌ها در حین انتقال محافظت کنند، به‌ویژه در مورد فایل‌های DICOM. این آموزش شامل اهمیت استفاده از پروتکل‌های رمزگذاری‌شده (مانند TLS) هنگام ارسال تصاویر پزشکی بین سرورها و جلوگیری از انتقال فایل‌ها در شبکه‌های عمومی و غیرایمن می باشد.

نحوه گزارش‌دهی سریع مشکلات

کارکنان باید بدانند که اگر به فایلی مشکوک برخورد کردند یا علائمی از رفتار غیرعادی در سیستم مشاهده کردند، باید چه کاری انجام دهند. بعنوان مثال کانال‌ مشخصی برای گزارش مشکلات امنیتی داشته باشند . همچنین تأکید شود که هر تأخیری در گزارش‌دهی می‌تواند باعث گسترش حمله شود.

ابزارهای کمک آموزشی:

برای اثربخشی بیشتر، استفاده از ابزارهای زیر توصیه می‌شود:

• ویدیوهای آموزشی تعاملی:  برای نمایش حملات شبیه‌سازی‌شده و نحوه مقابله با آن‌ها.
• برگزاری دوره‌های آموزشی حضوری و آنلاین:  کارکنان را در معرض چالش‌های واقعی امنیتی قرار دهید.
• آزمون‌های امنیتی:  برای ارزیابی آموخته‌های کارکنان و شناسایی نقاط ضعف در دانش امنیتی آن‌ها.

چرا امنیت سایبری در سلامت مهم است؟

حملات سایبری در حوزه سلامت به سرعت در حال افزایش است. نرم‌افزارهای پزشکی که امنیت کمتری دارند، به اهداف جذابی برای هکرها تبدیل شده‌اند. سرمایه‌گذاری در امنیت سایبری باید به عنوان یک اولویت استراتژیک برای بیمارستان‌ها در نظر گرفته شود تا بیمارستان ها از به سرقت رفتن سرمایه ها و داده های حیاتی خود در امان باشند. اگر شما نیز در حوزه سلامت یا امنیت سایبری فعالیت دارید، اکنون زمان آن است که گام‌های مؤثرتری برای حفاظت از اطلاعات حوزه سلامت بردارید.