Chyby v medicínskom zariadení spôsobili, že infúzna pumpa môže byť ovládaná na diaľku

Alaris

Zdroj: TechCrunch

Bezpečnostní výskumníci z firmy CyberMDX oznámili výrobcovi Becton Dickinson a americkým federálnym orgánom ešte v novembri 2018 dve chyby v Alaris Gateway Workstation. Toto zariadenie slúži na riadenie viacerých infúznych/injekčných púmp. Tieto pumpy sú v nemocniciach veľmi rozšírené. Umožňujú dávkovanie roztokov a liekov do žily.

Prvá chyba dostala hodnotenie 7,3 bodu podľa CVSS v3. Web rozhranie Alaris Gateway Workstation umožňuje útočníkovi so znalosťou IP adresy prístup ku konfigurácii a statusu zariadenia. Druhá horšia chyba dostala plný počet 10.0 bodu podľa CVSS v3. Rozhranie neobmedzuje nahratie škodlivých súborov počas update firmvéru.

Použitím obidvoch chýb by bolo možné na diaľku meniť parametre pripojených púmp inštaláciou upraveného firmvéru. Takisto by bolo možné na diaľku vyradiť pumpu z prevádzky. Na vykonanie celého útoku by bolo nutné vniknúť do siete nemocnice, zistiť IP adresu riadiacej stanice a vedieť napísať vlastný firmvér.

Úspešné vykonanie útoku síce vyžaduje viacero krokov, ale nie je nemožné. Výrobca už uverejnil nové verzie pre zasiahnuté modely, ale bez aplikácie zákazníkmi zostanú chyby zneužiteľné. Rada pre IT adminov nemocníc je, že kritické zariadenia by mali byť oddelené od zvyšku siete.

Obrázok: DOTmed

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

ITAPA 2022: Výber TOP spíkrov kongresu

ITAPA 2022: Výber TOP spíkrov kongresu Téma: Ženy v IT, úspešné podnikateľky Anca D. Goron, expertka na umelú inteligenciu, zakladateľka 2 startupov, ktorá bola zaradená do…

Richard „Citrón“ Lintner exkluzívne pre ITAPA

Tlačová informácia Richard „Citrón“ Lintner exkluzívne pre ITAPA: Vychovávame výnimočných ľudí. Nie vďaka, ale skôr napriek systému Bratislava, 22. november 2022 – Je tomu už…