Główna podatność dotyczy tego, w jaki sposób i gdzie pompa przechowuje dane uwierzytelniające korzystających z niej użytkowników. Dobra wiadomość jest taka, że atak na pompę może przeprowadzić wyłącznie osoba, która ma do niej fizyczny dostęp.

Chodzi o to iż w module baterii zasilającej całe urządzenie (konkretnie w nieulotnej pamięci zintegrowanej z modułem) przechowywane są dane uwierzytelniające użytkownika w sieci Wi-Fi.

Zobacz również:

• Włosi nie chcą bota ChatGPT

Problem polega na tym, że haker może kupić nowy moduł baterii, wyłączyć pompę, podłączyć do niej nowy moduł baterii i włączyć ponownie całe urządzenie, zmuszając wtedy pompę do zapisania danych uwierzytelniających użytkownika w sieci Wi-Fi w nieulotnej pamięci modułu baterii.

Podatność ta niesie ze sobą dodatkowe ryzyko polegające one na tym, że osoby trzecie mogą również odczytać z wyrzuconego lub odsprzedanego modułu baterie poufne dane uwierzytelniające użytkownik w sieci Wi-Fi i włamać się do całego urządzenia.

Jakby tego było mało, w pompie wykryto też inne podatności znajdujące się w zarządzającym nią oprogramowaniu. Chodzi o problem z Telnetem i poleceniem „hostmessage” (którą to podatność haker może wykorzystać do przeglądania danych magazynowanych w pamięci urządzenia) oraz lukę znajdującą się w jednym z poleceń używanych do formatowania (która może być wykorzystana do przeprowadzania ataków DoS).

Podsumowując, w pompach wykryto ogółem cztery podatności, nadając im następujące oznaczenia: CVE-2022-26392, CVE-2022-26393, CVE-2022-26394 i CVE-2022-26390. Żadnej z nich nie można jednak wykorzystać zdalnie, czyli przez Internet, chyba że haker znajdzie się z zasięgu działania lokalnej sieci Wi-Fi obsługującej pompę.

Baxter zapewnia, że pracuje już nad opracowaniem łat likwidujących luki znajdujące się w oprogramowaniu. Chodzi tu o podatności CVE-2022-26392 i CVE-2022-26393. Firma udostępniła też instrukcje pozwalające przeciwdziałać atakom wykorzystującym podatności CVE-2022-26394 i CVE-2022-26390