Do tych pomp infuzyjnych można się włamywać

Sprzęt medyczny może być również atakowany przez cyberprzestępców. A oto przykład. W używanych także w Polsce, obsługiwanych przez sieć Wi-Fi pompach infuzyjnych firmy Baxter (chodzi o urządzenia linii SIGMA Spectrum) wykryto podatności, które pozwalają hakerom przeprowadzać na nie różnego rodzaju ataki, w tym typu DoS (ataki skutkujące odmową świadczenia usług przez urządzenie) czy „man-in-the-middle”.

Główna podatność dotyczy tego, w jaki sposób i gdzie pompa przechowuje dane uwierzytelniające korzystających z niej użytkowników. Dobra wiadomość jest taka, że atak na pompę może przeprowadzić wyłącznie osoba, która ma do niej fizyczny dostęp.

Chodzi o to iż w module baterii zasilającej całe urządzenie (konkretnie w nieulotnej pamięci zintegrowanej z modułem) przechowywane są dane uwierzytelniające użytkownika w sieci Wi-Fi.

Zobacz również:

  • Firmy zajmujące się AI podpisują nowe dobrowolne zobowiązania. Chodzi o bezpieczeństwo

Problem polega na tym, że haker może kupić nowy moduł baterii, wyłączyć pompę, podłączyć do niej nowy moduł baterii i włączyć ponownie całe urządzenie, zmuszając wtedy pompę do zapisania danych uwierzytelniających użytkownika w sieci Wi-Fi w nieulotnej pamięci modułu baterii.

Podatność ta niesie ze sobą dodatkowe ryzyko polegające one na tym, że osoby trzecie mogą również odczytać z wyrzuconego lub odsprzedanego modułu baterie poufne dane uwierzytelniające użytkownik w sieci Wi-Fi i włamać się do całego urządzenia.

Jakby tego było mało, w pompie wykryto też inne podatności znajdujące się w zarządzającym nią oprogramowaniu. Chodzi o problem z Telnetem i poleceniem „hostmessage” (którą to podatność haker może wykorzystać do przeglądania danych magazynowanych w pamięci urządzenia) oraz lukę znajdującą się w jednym z poleceń używanych do formatowania (która może być wykorzystana do przeprowadzania ataków DoS).

Podsumowując, w pompach wykryto ogółem cztery podatności, nadając im następujące oznaczenia: CVE-2022-26392, CVE-2022-26393, CVE-2022-26394 i CVE-2022-26390. Żadnej z nich nie można jednak wykorzystać zdalnie, czyli przez Internet, chyba że haker znajdzie się z zasięgu działania lokalnej sieci Wi-Fi obsługującej pompę.

Baxter zapewnia, że pracuje już nad opracowaniem łat likwidujących luki znajdujące się w oprogramowaniu. Chodzi tu o podatności CVE-2022-26392 i CVE-2022-26393. Firma udostępniła też instrukcje pozwalające przeciwdziałać atakom wykorzystującym podatności CVE-2022-26394 i CVE-2022-26390

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200