Een analyse van gegevens die zijn verzameld via crowdsourcing van meer dan 200.000 op het netwerk aangesloten infuuspompen die worden gebruikt in ziekenhuizen en zorginstellingen, heeft aangetoond dat 75% van die medische apparaten zwakke punten in de beveiliging bevat waardoor ze het risico lopen te worden misbruikt.
“Deze tekortkomingen omvatten blootstelling aan een of meer van de ongeveer 40 bekende cyberbeveiligingskwetsbaarheden en/of waarschuwingen dat ze een of meer van de ongeveer 70 andere soorten bekende beveiligingstekortkomingen voor IoT-apparaten hadden”, zegt Unit 42-beveiligingsonderzoeker Aveek Das. zei in een woensdag gepubliceerd rapport.
Het dreigingsinformatieteam van Palo Alto Networks zei dat het de scans had verkregen van zeven fabrikanten van medische hulpmiddelen. Bovendien was 52,11% van alle gescande infuuspompen vatbaar voor twee bekende kwetsbaarheden die in 2019 werden onthuld als onderdeel van 11 fouten die gezamenlijk “URGENT/11” werden genoemd –
- CVE-2019-12255 (CVSS-score: 9,8) – Een bufferoverloopfout in de TCP-component van Wind River VxWorks
- CVE-2019-12264 (CVSS-score: 7,1) – Een probleem met onjuiste toegangscontrole in de DHCP-clientcomponent van Wind River VxWorks
Andere belangrijke gebreken die van invloed zijn op de infuuspomp worden hieronder vermeld:
- CVE-2016-9355 (CVSS-score: 5,3) – Een onbevoegde gebruiker met fysieke toegang tot een Alaris 8015 Point of Care-unit kan het apparaat mogelijk demonteren om toegang te krijgen tot het verwijderbare flashgeheugen, waardoor lees- en schrijftoegang tot het apparaatgeheugen mogelijk is
- CVE-2016-8375 (CVSS-score: 4,9) – Een fout in het beheer van inloggegevens in Alaris 8015 Point of Care-eenheden die kan worden misbruikt om niet-versleutelde inloggegevens voor draadloze netwerkverificatie en andere gevoelige technische gegevens te verkrijgen
- CVE-2020-25165 (CVSS-score: 7,5) – Een kwetsbaarheid voor onjuiste sessie-authenticatie in Alaris 8015 Point of Care-eenheden die kan worden misbruikt om een denial-of-service-aanval op de apparaten uit te voeren
- CVE-2020-12040 (CVSS-score: 9,8) – Cleartext-overdracht van gevoelige informatie in Sigma Spectrum Infusion System
- CVE-2020-12047 (CVSS-score: 9,8) – Gebruik van hard-coded FTP-referenties in Baxter Spectrum WBM
- CVE-2020-12045 (CVSS-score: 9,8) – Gebruik van hard-coded Telnet-inloggegevens in Baxter Spectrum WBM
- CVE-2020-12043 (CVSS-score: 9,8) – Baxter Spectrum WBM FTP-service blijft operationeel na de verwachte vervaltijd totdat deze opnieuw wordt opgestart
- CVE-2020-12041 (CVSS-score: 9,8) – Baxter Spectrum Wireless Battery Module (WBM) maakt gegevensoverdracht en opdrachtregelinterfaces via Telnet mogelijk
Succesvolle exploitatie van de bovengenoemde kwetsbaarheden kan leiden tot het lekken van gevoelige informatie over patiënten en kan een aanvaller in staat stellen ongeautoriseerde toegang tot de apparaten te krijgen, waardoor gezondheidssystemen proactief moeten worden beschermd tegen bedreigingen.
Vorig jaar maakte McAfee beveiligingsproblemen bekend die de Infusomat Space Large Volume Pump en SpaceStation van B. Braun aantasten en die zonder voorafgaande authenticatie door kwaadwillende partijen kunnen worden misbruikt om met medicatiedoses te knoeien.
De ontdekking “belicht de noodzaak voor de gezondheidszorg om de inspanningen te verdubbelen om te beschermen tegen bekende kwetsbaarheden, terwijl ze ijverig de beste praktijken voor infuuspompen en ziekenhuisnetwerken volgen”, zei Das.
