Hastalara ilaç ve sıvı vermek için kullanılan 200.000’den fazla ağa bağlı tıbbi infüzyon pompasından toplanan veriler, bunların %75’inin saldırganların yararlanabileceği bilinen güvenlik sorunlarıyla çalıştığını gösteriyor.
Bulgular, on binlerce cihazın 2019 ve 2020’de bildirilen altı kritik önemdeki kusura (10 üzerinden 9,8) karşı savunmasız olduğunu ortaya koyuyor.
Eski, kritik sorunlar devam ediyor
Palo Alto Networks’teki araştırmacılar, müşterilerden toplanan verileri kullanarak 200.000’den fazla infüzyon pompasının güvenlik durumunu analiz etti ve 30.000 ila en az 100.000 arasında kritik güvenlik sorunlarına karşı savunmasız olduğunu buldu.
Karşılaşılan en yaygın kritik önemdeki kusur, CVE-2019-12255infüzyon pompası sistemleri de dahil olmak üzere gömülü cihazlar için kullanılan VxWorks gerçek zamanlı işletim sisteminde (RTOS) bir bellek bozulması hatası.
Palo Alto Networks’ün verilerine göre, analiz edilen infüzyon pompalarının %52’sinde kusur mevcut ve bu da 104.000’den fazla cihaz anlamına geliyor.
CVE-2019-12255, ‘ olarak bilinen 11 güvenlik açığı paketinin bir parçasıdır.ACİL/11‘ bağlı cihazlar için güvenlik sağlayan bir şirket olan Armis’teki araştırmacılar tarafından 2019 yılında keşfedildi ve rapor edildi.
VxWorks RTOS’un bakımını yapan Wind River, 19 Temmuz 2019’dan beri mevcut olan tüm URGENT/11 sorunlarını yamalarda ele aldı. Bununla birlikte, güncellemelerin uygulanmasında veya hiç yüklenmemelerindeki büyük gecikmeler, yerleşik cihaz ortamında iyi bilinen sorunlardır.
Geri kalan beş kritik önemdeki hata, Amerikan sağlık şirketi Baxter International’ın ürünlerini etkiliyor ve Haziran 2020’de rapor edildi.
Baxter’a göre güvenlik bülteni o sırada, aktör zaten ağdaysa, çoğundan yararlanmak mümkündür, ki bu alışılmadık olmaktan çok uzaktır.
Hatalar, verilerin kimlik doğrulaması olmadan açık metin iletiminden, sabit kodlanmış kimlik bilgilerine ve hassas verilere erişime veya Kablosuz Pil Modülünün ağ yapılandırmasının değiştirilmesine izin veren yanlış izinlere kadar uzanır.
Bu güvenlik açıkları için herhangi bir yama mevcut değildir ancak Baxter, bunlardan yararlanma riskini azaltmak için tasarlanmış bir dizi hafifletme (örn. Bölümleme, izleme) sağlamıştır ve yukarıdaki sorunlardan etkilenmeyen daha yeni Spectrum IQ Infusion sistemine geçilmesini tavsiye etmiştir. Bir danışma CISA’dan, düşük vasıflı bir saldırganın bunlardan yararlanabileceğini kaydetti.
Bugün bir yazıda, Palo Alto Networks tavsiye ediyor sağlık hizmeti sağlayıcıları, cihazları bilinen ve bilinmeyen tehditlerden korumak için ağdaki tüm sistemlerin doğru bir envanteriyle başlayan proaktif bir güvenlik stratejisi benimser.
Araştırmacılar, şu anda analiz edilen infüzyon pompalarını etkileyen tüm güvenlik açıklarının uzaktan saldırılar için pratik olmadığını, ancak bunların “sağlık kuruluşlarının genel güvenliği ve hastaların güvenliği için bir risk” olduğunu belirtiyorlar.