Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Alexander Neumann 90

Zwei Jahre alte Sicherheitslücken in Tomografen von Siemens Update

ICS-CERT warnt vor Lücken in Kernspintomografen von Siemens

Bild: Siemens

Die für die Sicherheit von Industrieanlagen zuständige US-Behörde ICS-CERT weist auf gravierende Sicherheitslücken hin, die die Sicherheit von Siemens' medizinischen Diagnosegräten zur Tomographie gefährden.

Das US-amerikanische Cyber Emergency Response Team für Industrial Control Systems (ICS-CERT) warnt vor mehreren, zwei Jahre alten Lücken, die die Sicherheit von Siemens' Tomografen für PET/CT (Positron Emission Tomography/Computed Tomography) und SPECT (Single-Photon-Emissions-Tomographie) gefährden. Mit diesen Geräten zur molekularen Bildgebung lassen sich Tumore, aber auch Anzeichen von Hirnkrankheit erkennen.

Die anfälligen Systeme laufen unter Windows 7; und es gibt bereits Patches von Microsoft und HP/Persistent Systems, den Herstellern der betroffenen Software, aber bisher offenbar nicht für die medizinischen Geräte. Über diese Lücken können Angreifer ein System übers Netz hinweg übernehmen. Das für die Sicherheit von Industrieanlagen zuständige ICS-CERT stuft sie in die oberste Gefahrenkategorie ein (CVSS 9,8 von 10) und empfiehlt deshalb unter anderem, die Geräte als Sicherheitsmaßnahme vom Netz zu trennen und möglichst im Standalone-Modus zu betreiben.

Exploits und Patches

Das ICS-CERT führt insgesamt vier Sicherheitslücken auf (CVE-2015-1635, CVE-2015-1497, CVE-2015-7860, CVE-2015-7861), die allesamt seit 2015 bekannt sind. Für die Lücken gibt es bereits öffentlich verfügbaren Exploit-Code, mit denen man sie ohne große Fachkenntnis ausnutzen kann. "Ein Angreifer mit wenig Fachkönnen wäre in der Lage, diese Lücken auszunutzen" heißt es wörtlich in dem Advisory. Der müsste dazu lediglich übers Netz mit dem Gerät "sprechen" können, etwa indem er sich Zugang zum Netzwerk eines Krankenhauses verschafft.

Siemens will jetzt dafür sorgen, dass die Sicherheits-Updates auch für die anfälligen Kernspin-Tomografen verfügbar werden, erklärt der Hersteller in einer eigenen Sicherheitsnotiz (PDF), die auch weitere Maßnahmen und Workarounds für Administratoren aufführt. Ein Datum, bis wann die Patches verfügbar sein werden, nennt Siemens jedoch nicht.

Update 5.8.2017, 17:00: Ursprünglich war in der Meldung von Kernspin-Tomografen die Rede, die auf der Magnetresonanz-Tomografie (MRT) beruhen. Die betroffenen Geräte dienen jedoch der Positron-Emissions-Tomographie (PET) und Single-Photon-Emissions-Tomographie (SPECT). Die Verweise auf den Kernspin haben wir deshalb entfernt. (ane)

90 Kommentare

Themen:

Anzeige
  1. BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    Wie Millionen anderer Geräte sind auch Amazons und Googles digitale Assistenten via Bluetooth angreifbar: Die BlueBorne-Schwachstellensammlung ermöglicht mitunter die komplette Systemübernahme. Zum Glück gibt es Einschränkungen – und Updates.

  2. Horus Scenario: Sicherheitsforscher skizziert Blackout in Europa aufgrund angreifbarer Solarstromanlagen

    Horus Scenario: Sicherheitsforscher skizziert Blackout in Europa aufgrund angreifbarer Solarstromanlagen

    Diverse Solarstromanlagen sollen kritische Sicherheitslücken aufweisen. Eine Attacke könnte einen kontinentalen totalen Stromausfall auslösen, warnt ein Sicherheitsforscher. Diese Gefahr sieht ein betroffener Hersteller nicht.

  3. Lücke in PHPMailer erlaubt die Ausführung fremden Codes

    PHPMailer-Lücke erlaubt Remote Code Execution

    Sicherheitsforscher haben eine Lücke in der weit verbreiteten Webmail-Bibliothek PHPMailer veröffentlicht: Eine fehlerhafte Eingabeüberprüfung lässt sich zum Ausführen externen Codes missbrauchen.

  4. Remote Code Execution: Apache-Tomcat-Entwickler schließen Sicherheitslücke

    Remote Code Execution: Apache-Tomcat-Entwickler schließen Sicherheitslücke

    Eine Lücke in mehreren Apache-Tomcat-Versionen erlaubt Angreifern unter eher selten gegebenen Voraussetzungen die Schadcode-Ausführung aus der Ferne. Updates schaffen Abhilfe.

  1. Glyphosat: Datenmasseure bei der Arbeit

    Wie Wissenschaft in der Diskussion zur Sicherheit des Pflanzenschutzmittels manipuliert wird

  2. Innere Sicherheit: Musterhaft auf dem Weg zu mehr Repression

    Wie der Fetisch Sicherheit von allen Parteien bedient wird

  3. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Der neue Kernel bringt eine Schnellverarbeitungsweg für Netzwerkpakete und Grundlagen für neue Dateisystemfunktionen bei XFS. Zahlreiche neuen und verbesserte Treiber bringen Unterstützung für Grafikchips von ARM, Intel und Nvidia. Ferner gab es einen ganzen Schwung von Änderungen, um die Sicherheit zu verbessern.

  1. Terabyte-große Datenkontainer entdeckt: US-Militär überwacht Soziale Netzwerke weltweit

    Terabyte-große Datenkontainer entdeckt: US-Militär überwacht Soziale Netzwerke weltweit

    Bei einem Routine-Scan fielen dem Security-Experten Chris Vickery riesige Daten-Container in die Hände, die das US-Militär zur Überwachung und Manipulation sozialer Netzwerke in der Amazon-Cloud gesammelt hat.

  2. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  3. Russland plant zweiten Raketenstart vom Weltraumbahnhof Wostotschny

    Russland plant zweiten Raketenstart vom Weltraumbahnhof Wostotschny

    Anderhalb Jahre nach dem ersten Start einer Rakete von dem neuen Weltraumbahnhof im Fernern Osten Russlands soll in Kürze ein weiterer Start folgen.

  4. Verhandlungen über Killerroboter in Genf

    Verhandlungen über Killerroboter in Genf

    Am Sitz der Vereinten Nationen in Genf wurde diese Woche ein Thema diskutiert, das sich für große Teile der Öffentlichkeit nach wie vor wie Science-Fiction anhört: tödliche autonome Waffensysteme oder Killerroboter.

Anzeige