CVE-2025-64778: Vulnerabilità di password codificate in NMIS/BioDose consente accesso non autorizzato

NMIS/BioDose è una suite software specializzata utilizzata in ambienti sensibili per la gestione delle reti e, in particolare, per il monitoraggio dell’esposizione alle radiazioni in medicina nucleare. Essendo distribuito in strutture sanitarie e di ricerca, spesso elabora e memorizza dati altamente sensibili relativi a pazienti e operazioni, rendendolo un bersaglio ad alto valore per gli attaccanti.

Il rischio principale deriva dall’utilizzo di credenziali codificate direttamente nel software, che forniscono un percorso diretto per l’escalation di privilegi. Un attaccante con anche un accesso minimo in lettura al filesystem può facilmente estrarre queste credenziali e ottenere il controllo amministrativo dell’applicazione e del suo database. Sebbene non siano stati ancora registrati attacchi confermati che sfruttano questa vulnerabilità in modo attivo, la sua inclusione in un avviso della CISA per i sistemi di controllo industriale (ICS) ne evidenzia la criticità. Tutte le istanze, sia interne che esposte verso internet, delle versioni vulnerabili devono essere considerate ad alto rischio a causa della semplicità di sfruttamento una volta ottenuto l’accesso iniziale.

Prodotto NMIS/BioDose
Data 2025-12-04 12:31:29

Riassunto tecnico

La causa principale di questa vulnerabilità è classificata come CWE-798: Uso di credenziali codificate. Le password per l’applicazione e per il database associato sono memorizzate in chiaro direttamente all’interno dei file binari eseguibili dell’applicazione. Questa pratica insicura elimina la necessità di tecniche avanzate di reverse engineering, poiché le credenziali possono essere recuperate utilizzando semplici strumenti di ispezione dei file.

La catena d’attacco è diretta:

  1. Un attaccante ottiene accesso iniziale al filesystem del server su cui è installato il software NMIS/BioDose.
  2. L’attaccante utilizza un’utility standard, come strings, per leggere il contenuto dei file binari dell’applicazione.
  3. Le password codificate vengono trovate in chiaro all’interno dei segmenti dati del binario.
  4. L’attaccante utilizza queste credenziali per accedere all’applicazione o al suo database con privilegi amministrativi.

Una rappresentazione concettuale della logica di codice vulnerabile è la seguente:

// -- VULNERABLE CODE (CONCEPTUAL) --
// Le credenziali del database sono compilate direttamente nell'applicazione,
// rendendole leggibili da chiunque abbia accesso al binario.

void connectToDatabase() {
    const char* user = "biodose_admin";
    const char* pass = "h@rdc0d3d_p@ssw0rd_Examp1e!"; // Plaintext password in binary
    db_connect("127.0.0.1", user, pass);
}

Versioni interessate: NMIS/BioDose V22.02 e precedenti sono vulnerabili.
Disponibilità della correzione: È stata rilasciata una versione corretta e gli utenti devono aggiornare alla versione più recente disponibile dal fornitore.

Lo sfruttamento con successo consente a un attaccante di ottenere pieno accesso amministrativo, permettendo la lettura, modifica o esfiltrazione di dati sensibili relativi alla gestione della rete e ai registri di esposizione alle radiazioni dei pazienti.

Raccomandazioni

  • Applicare la patch immediatamente: Aggiornare tutte le istanze di NMIS/BioDose a una versione successiva alla V22.02. Contattare il fornitore per ottenere l’ultima versione corretta del software e istruzioni per la distribuzione.

  • Mitigazioni:

  • Implementare controlli di accesso rigorosi sul filesystem. Assicurarsi che solo gli account amministrativi affidabili possano leggere o eseguire i file nella directory binaria dell’applicazione.

  • Se l’aggiornamento non è immediatamente possibile, utilizzare soluzioni di controllo delle applicazioni o whitelisting per impedire a processi non autorizzati di accedere ai file binari di NMIS/BioDose.

  • Ricerca e monitoraggio:

  • Verificare i log dell’applicazione e del database alla ricerca di attività di login non autorizzate o anomale. Correlare gli orari di accesso con l’attività sul sistema host.

  • Monitorare attività sulla riga di comando relative all’uso di strumenti come strings, grep o cat sui file eseguibili dell’applicazione.

  • Stabilire una baseline delle connessioni di rete normali al database e generare allarmi per connessioni da fonti inattese.

  • Risposta agli incidenti:

  • In caso di sospetto compromissione, ruotare immediatamente tutte le credenziali associate all’applicazione NMIS/BioDose e al suo database dopo l’applicazione della patch.

  • Isolare l’host compromesso dalla rete per prevenire eventuali movimenti laterali.

  • Presumere che tutti i dati gestiti dall’applicazione siano stati compromessi e avviare un’indagine forense per determinare l’entità della violazione.

  • Difesa in profondità:

  • Impiegare la segmentazione della rete per garantire che il server del database accetti connessioni solo dal server dell’applicazione.

  • Revisionare regolarmente i privilegi degli utenti e degli account di servizio, applicando il principio del privilegio minimo.

  • Assicurarsi di avere procedure solide di backup e ripristino per tutti i dati critici dell’applicazione.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In