Hastanelerde ve sağlık kuruluşlarında kullanılan 200.000’den fazla ağa bağlı infüzyon pompasından elde edilen kitle kaynaklı verilerin analizi, bu tıbbi cihazların %75’inin onları potansiyel istismar riskine sokabilecek güvenlik zayıflıkları içerdiğini ortaya çıkardı.
Unit 42 güvenlik araştırmacısı Aveek Das, “Bu eksiklikler arasında, bilinen 40 siber güvenlik açığından birine veya daha fazlasına maruz kalma ve/veya IoT cihazları için bilinen 70 diğer güvenlik eksikliği türünden bir veya daha fazlasına sahip olduklarına dair uyarılar yer aldı.” dedim Çarşamba günü yayınlanan bir raporda.
Palo Alto Networks’ün tehdit istihbarat ekibi, taramaları yedi tıbbi cihaz üreticisinden aldığını söyledi. Bunun da ötesinde, taranan tüm infüzyon pompalarının %52,11’i, toplu olarak “URGENT/11” olarak adlandırılan 11 kusurun bir parçası olarak 2019’da açıklanan bilinen iki güvenlik açığına karşı hassastı –
- CVE-2019-12255 (CVSS puanı: 9.8) – Wind River VxWorks’ün TCP bileşeninde bir arabellek taşması hatası
- CVE-2019-12264 (CVSS puanı: 7.1) – Wind River VxWorks’ün DHCP istemci bileşeninde hatalı erişim kontrolü ile ilgili bir sorun
İnfüzyon pompasını etkileyen diğer önemli kusurlar aşağıda listelenmiştir –
- CVE-2016-9355 (CVSS puanı: 5.3) – Alaris 8015 Point of Care birimlerine fiziksel erişimi olan yetkisiz bir kullanıcı, çıkarılabilir flash belleğe erişmek için cihazı parçalarına ayırabilir, bu da cihaz belleğine okuma ve yazma erişimi sağlar
- CVE-2016-8375 (CVSS puanı: 4.9) – Alaris 8015 Bakım Noktası birimlerinde, şifrelenmemiş kablosuz ağ kimlik doğrulama bilgilerini ve diğer hassas teknik verileri elde etmek için kullanılabilecek bir kimlik bilgisi yönetim hatası
- CVE-2020-25165 (CVSS puanı: 7.5) – Alaris 8015 Point of Care birimlerinde, cihazlarda hizmet reddi saldırısı gerçekleştirmek için kötüye kullanılabilecek uygunsuz bir oturum kimlik doğrulama güvenlik açığı
- CVE-2020-12040 (CVSS puanı: 9.8) – Hassas bilgilerin Sigma Spectrum Infusion System’da açık metin iletimi
- CVE-2020-12047 (CVSS puanı: 9.8) – Baxter Spectrum WBM’de sabit kodlanmış FTP kimlik bilgilerinin kullanılması
- CVE-2020-12045 (CVSS puanı: 9.8) – Baxter Spectrum WBM’de sabit kodlanmış Telnet kimlik bilgilerinin kullanılması
- CVE-2020-12043 (CVSS puanı: 9.8) – Baxter Spectrum WBM FTP hizmeti, yeniden başlatılana kadar beklenen sona erme süresinden sonra çalışır durumda kalır
- CVE-2020-12041 (CVSS puanı: 9.8) – Baxter Spectrum Kablosuz Batarya Modülü (WBM), Telnet üzerinden veri aktarımına ve komut satırı arayüzlerine izin verir
Yukarıda bahsedilen güvenlik açıklarının başarılı bir şekilde kullanılması, hastalara ait hassas bilgilerin sızmasına neden olabilir ve bir saldırganın cihazlara yetkisiz erişim sağlamasına izin vererek sağlık sistemlerinin tehditlere karşı proaktif olarak korunmasını gerektirir.
Geçen yıl McAfee, B. Braun’un Infusomat Space Büyük Hacimli Pompasını ve SpaceStation’ı etkileyen ve kötü niyetli taraflarca önceden herhangi bir kimlik doğrulama olmaksızın ilaç dozlarını değiştirmek için kötüye kullanılabilecek güvenlik açıklarını açıkladı.
Das, keşif, “sağlık endüstrisinin, infüzyon pompaları ve hastane ağları için en iyi uygulamaları özenle takip ederken, bilinen güvenlik açıklarına karşı koruma çabalarını iki katına çıkarma ihtiyacını vurguluyor” dedi.
