ISGroup Consultoría de Ciberseguridad

CVE-2025-64778: Vulnerabilidad de contraseñas codificadas en NMIS/BioDose permite acceso no autorizado

NMIS/BioDose es una suite de software especializada utilizada en entornos sensibles para la gestión de redes y, en particular, para el monitoreo de la exposición a la radiación en medicina nuclear. Al estar distribuido en centros de salud e investigación, a menudo procesa y almacena datos altamente sensibles relacionados con pacientes y operaciones, lo que lo convierte en un objetivo de alto valor para los atacantes.

El riesgo principal deriva del uso de credenciales codificadas directamente en el software, las cuales proporcionan una ruta directa para la escalada de privilegios. Un atacante con incluso un acceso mínimo de lectura al sistema de archivos puede extraer fácilmente estas credenciales y obtener el control administrativo de la aplicación y su base de datos. Aunque aún no se han registrado ataques confirmados que exploten esta vulnerabilidad de forma activa, su inclusión en una alerta de la CISA para sistemas de control industrial (ICS) subraya su criticidad. Todas las instancias, tanto internas como expuestas a internet, de las versiones vulnerables deben considerarse de alto riesgo debido a la simplicidad de su explotación una vez obtenido el acceso inicial.

ProductoNMIS/BioDose
Fecha2025-12-04 12:31:29

Resumen técnico

La causa principal de esta vulnerabilidad se clasifica como CWE-798: Uso de credenciales codificadas. Las contraseñas para la aplicación y para la base de datos asociada se almacenan en texto plano directamente dentro de los archivos binarios ejecutables de la aplicación. Esta práctica insegura elimina la necesidad de técnicas avanzadas de ingeniería inversa, ya que las credenciales pueden recuperarse utilizando herramientas simples de inspección de archivos.

La cadena de ataque es directa:

  1. Un atacante obtiene acceso inicial al sistema de archivos del servidor donde está instalado el software NMIS/BioDose.
  2. El atacante utiliza una utilidad estándar, como strings, para leer el contenido de los archivos binarios de la aplicación.
  3. Las contraseñas codificadas se encuentran en texto plano dentro de los segmentos de datos del binario.
  4. El atacante utiliza estas credenciales para acceder a la aplicación o a su base de datos con privilegios administrativos.

Una representación conceptual de la lógica del código vulnerable es la siguiente:

// -- CÓDIGO VULNERABLE (CONCEPTUAL) --
// Las credenciales de la base de datos están compiladas directamente en la aplicación,
// haciéndolas legibles para cualquiera que tenga acceso al binario.

void connectToDatabase() {
    const char* user = "biodose_admin";
    const char* pass = "h@rdc0d3d_p@ssw0rd_Examp1e!"; // Contraseña en texto plano en el binario
    db_connect("127.0.0.1", user, pass);
}

Versiones afectadas: NMIS/BioDose V22.02 y anteriores son vulnerables.
Disponibilidad del parche: Se ha lanzado una versión corregida y los usuarios deben actualizar a la versión más reciente disponible por parte del proveedor.

La explotación exitosa permite a un atacante obtener acceso administrativo completo, permitiendo la lectura, modificación o exfiltración de datos sensibles relacionados con la gestión de la red y los registros de exposición a la radiación de los pacientes.

Recomendaciones

  • Aplicar el parche inmediatamente: Actualizar todas las instancias de NMIS/BioDose a una versión posterior a la V22.02. Contactar al proveedor para obtener la última versión corregida del software e instrucciones para la implementación.

  • Mitigaciones:

  • Implementar controles de acceso rigurosos en el sistema de archivos. Asegurarse de que solo las cuentas administrativas confiables puedan leer o ejecutar los archivos en el directorio binario de la aplicación.

  • Si la actualización no es posible de inmediato, utilizar soluciones de control de aplicaciones o listas blancas (whitelisting) para impedir que procesos no autorizados accedan a los archivos binarios de NMIS/BioDose.

  • Investigación y monitoreo:

  • Verificar los registros (logs) de la aplicación y de la base de datos en busca de actividad de inicio de sesión no autorizada o anómala. Correlacionar los horarios de acceso con la actividad en el sistema host.

  • Monitorear la actividad en la línea de comandos relacionada con el uso de herramientas como strings, grep o cat sobre los archivos ejecutables de la aplicación.

  • Establecer una línea base de las conexiones de red normales a la base de datos y generar alertas para conexiones desde fuentes inesperadas.

  • Respuesta ante incidentes:

  • En caso de sospecha de compromiso, rotar inmediatamente todas las credenciales asociadas a la aplicación NMIS/BioDose y a su base de datos después de aplicar el parche.

  • Aislar el host comprometido de la red para prevenir posibles movimientos laterales.

  • Asumir que todos los datos gestionados por la aplicación han sido comprometidos e iniciar una investigación forense para determinar el alcance de la brecha.

  • Defensa en profundidad:

  • Emplear la segmentación de red para garantizar que el servidor de base de datos acepte conexiones únicamente desde el servidor de la aplicación.

  • Revisar regularmente los privilegios de los usuarios y de las cuentas de servicio, aplicando el principio de privilegio mínimo.

  • Asegurarse de contar con procedimientos sólidos de respaldo y recuperación para todos los datos críticos de la aplicación.

[Callforaction-THREAT-Footer]

In