Det er et kendt faktum, at sårbarheder i medicinsk udstyr kan true den fysiske sikkerhed af patienter.
Sikkerhed forskere har opdaget to nye sådanne sårbarheder, hvoraf den ene er kritisk og kan tillade fuld kontrol af den medicinske indretning. Fejlene opholde sig i Alaris Gateway arbejdsstationer af Becton Dickinson, som anvendes til at levere fluid medicin.
En af de sårbarheder (identificeret som CVE-2019-10.959) ligger i enhedens firmware kode, og er tildelt den højeste sværhedsgrad score på 10. Fejlen kan udnyttes af en hacker at opnå fuld kontrol af indretningen. Den anden brist (CVE-2019-10.962) er ikke så alvorlig, men er stadig farligt, da det påvirker arbejdsstation webbaserede management interface.
Begge sårbarheder påvirker visse versioner af Becton Dickinson s Alaris Gateway arbejdsstation (AGW), der leverer strøm og netværksforbindelse til infusions- og sprøjtepumper. Det er vigtigt at bemærke, at AGW er ikke tilgængelig i USA, men det bruges i hele Europa og Asien.
Mere om CVE-2019-10.959 og CVE-2019-10.962
Den kritiske CVE-2019-10.959 svaghed påvirker 1.1.3 Byg 10, 1.1.3 MR Byg 11, 1.2 Byg 15, 1.3.0 Byg 14, og 1.3.1 Byg 13. CVE-2019-10.962 fare følgende versioner: 1.0.13, 1.1.3 Byg 10, 1.1.3 MR Byg 11, 1.1.5, og 1.1.6. Endvidere, flere andre Alaris enheder også påvirket - GS, GH, CC og TIVA som alle kører softwareversion 2.3.6, udgivet i 2006.
En vellykket udnyttelse af den kritiske CVE-2019-10.959 kan tillade en hacker at installere skadelig firmware, som derefter kunne deaktivere arbejdsstation eller manipulere med dens funktion. Men, at udføre udnytte, angriberen vil også nødt til at få adgang til hospitalet netværk. Denne opgave kan ikke være at udfordrende overhovedet, betragtning af niveauet for sikkerheden i sundhedsorganisationer.
Det næste skridt vil kræve, at hacker at udforme en Windows kabinet fil kaldet CAB. Filen er et arkiv format til lagring af data relateret til Microsoft Windows-drivere og systemfiler. I tilfælde af angrebet, truslen skuespiller ville booby-fælde filen med ondsindede eksekverbare.
Den farligste del af CVE-2019-10.959 angreb ville gøre det muligt for hackeren at opdatere AGW firmware over netværket uden særlige privilegier eller godkendelse.
Til sidst, angriberen kunne manipulere med doseringen af medikamentet dispenseres ved specifikke modeller af infusionspumper forbundet med en AGW enhed.
Som for CVE-2019-10.962, jo mindre alvorlig fejl, Det kan give en hacker med kendskab til IP-adressen på enheden for at få adgang til vigtige informationer via sin browser-interface, såsom overvågningsdata, hændelseslogfiler, brugervejledninger og konfigurationsindstillinger
Sårbarhederne var opdaget af CyberMDX. Forskerne kontaktede Becton Dickinson privat, og selskabet bekræftede de spørgsmål. De to selskaber samarbejdede i at finde en løsning på de bugs.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: