McAfee Enterprise's Advanced Threat Research Team heeft een nieuwe studie onthuld over kwetsbaarheden die ze hebben gevonden met pompen die zijn gemaakt door de Duitse zorggigant B. Braun.
Het rapport beschrijft de problemen met B. Braun's Infusomat Space Large Volume Pump en het SpaceStation, die beide zijn gebouwd voor gebruik in medische instellingen voor volwassenen en kinderen. Infuuspompen zijn ontworpen om verpleegkundigen en artsen te helpen tijdrovende handmatige infusies over te slaan en hebben de afgelopen jaren aan bekendheid gewonnen doordat veel ziekenhuizen hun systemen digitaliseren.
Volgens het onderzoek zouden aanvallers misbruik kunnen maken van de kwetsbaarheden om de configuratie van een pomp in de stand-bymodus te wijzigen, zodat gewijzigde doses medicatie aan patiënten kunnen worden toegediend zonder enige controle.
Het besturingssysteem van de pomp controleert niet waar de opdrachten vandaan komen of wie er gegevens naartoe stuurt, waardoor cyberaanvallen de ruimte krijgen om op afstand aan te vallen. Het gebruik van niet-geverifieerde en niet-versleutelde protocollen geeft aanvallers ook meerdere mogelijkheden om toegang te krijgen tot de interne systemen van de pomp die regelen hoeveel van elk medicijn naar een patiënt moet gaan.
“Kwaadwillende actoren zouden meerdere 0-day-kwetsbaarheden kunnen gebruiken om meerdere kritieke aanvalsscenario's te bedreigen, wat de snelheid van medicatie die aan patiënten wordt verstrekt dramatisch kan verhogen. Medische faciliteiten zouden deze bedreigingen actief met speciale aandacht moeten volgen, totdat een uitgebreide reeks patches is geproduceerd en effectief geadopteerd door klanten van B. Braun,* aldus McAfee's Advanced Threat Research Team in het onderzoek.
“Door een voortdurende dialoog met B. Braun heeft McAfee Enterprise ATR de kwetsbaarheid onthuld en vernomen dat de nieuwste versie van de pomp de initiële netwerkvector van de aanvalsketen verwijdert.”
Douglas McKee, Steve Povolny en Philippe Laulheret – leden van McAfee's Advanced Threat Research Team – leggen in het rapport uit dat de veranderingen in de hoeveelheid medicatie die aan een patiënt wordt gegeven, eruit zouden zien als een eenvoudige storing van het apparaat en pas zouden worden opgemerkt nadat een aanzienlijke hoeveelheid medicijn is afgegeven aan een patiënt, aangezien de infuuspomp precies weergeeft wat is voorgeschreven, en dat alles terwijl mogelijk dodelijke doses medicatie worden afgegeven.”
McAfee merkte op dat er jaarlijks wereldwijd meer dan 200 miljoen IV-infusies worden toegediend met pompen zoals die van B. Braun. Het bedrijf is een van de leiders in een markt voor IV-pompen die in 2020 in de VS $ 13,5 miljard opbracht.
Shaun Nordeck, een arts die werkt in een Traumacentrum van niveau 1, heeft bijgedragen aan het onderzoek en zei dat de mogelijkheid om op afstand medische apparatuur onopgemerkt te manipuleren, met mogelijk letsel voor de patiënt, deze point-of-care-apparaten effectief bewapent.
“Dit is een scenario dat voorheen alleen plausibel was in Hollywood, maar nu is bevestigd dat het een echte aanvalsvector is op een kritiek apparaat dat we dagelijks gebruiken”, zei Nordeck over het onderzoek. “De ransomware-aanvallen die zich op onze branche hebben gericht, zijn afhankelijk van kwetsbaarheden zoals deze; en dat is precies waarom dit onderzoek van cruciaal belang is om aanvallen proactief te begrijpen en af te weren.”
McAfee informeerde B. Braun in januari over de kwetsbaarheden en het bedrijf heeft sindsdien de pompen bijgewerkt om het probleem op te lossen. Maar de opkomst van het probleem opent een geheel nieuwe reeks aanvallen die kunnen worden gebruikt als er andere op het netwerk gebaseerde kwetsbaarheden worden gevonden. Het rapport merkt op dat hoewel B. Braun de problemen heeft opgelost, veel ziekenhuizen nog steeds de kwetsbare tools en software gebruiken.
“De medische industrie loopt al vele jaren ernstig achter op anderen op het gebied van beveiliging – het is tijd om de digitale 'pleisters' van langzame en reactieve patching weg te gooien en een holistische 'remedie' te omarmen door een veiligheids-first mentaliteit van de vroege stadia van ontwikkeling, gecombineerd met een snelle en effectieve patch-oplossing”, aldus McKee, Povolny en Laulheret.
McAfee ontdekte uiteindelijk vijf afzonderlijke, nieuwe kwetsbaarheden met betrekking tot de pompen – CVE-2021-33886, CVE-2021-33885, CVE-2021-33882, CVE-2021-33883 en CVE-2021-33884 – die betrekking hebben op B. Braun's Infusomat-pomp met groot volume, model 871305U, een SpaceStation-dockingstation model 8713142U met plaats voor maximaal 4 pompen en een softwarecomponent genaamd SpaceCom-versie 012U000050, die allemaal in 2017 zijn uitgebracht.
“Als we kijken naar hoe de pomp en zijn communicatiemodule de communicatie en bestandsverwerking afhandelt, hebben we vastgesteld dat kritieke bestanden niet zijn ondertekend (CVE-2021-33885), de meeste gegevensuitwisselingen in platte tekst worden uitgevoerd (CVE-2021-33883) en dat er een algemeen gebrek aan authenticatie (CVE-2021-33882) voor de propriëtaire protocollen die worden gebruikt”, aldus het rapport.
Beveiligingsonderzoekers hebben eerder kwetsbaarheden in cyberbeveiliging ontdekt met infuuspompen van meerdere bedrijven naast B. Braun, zoals Medtronic, Hospira Symbiq en anderen. Maar onlangs heeft de Duitse regering een studie gepubliceerd over infuuspompen, waaronder die van B. Braun, als onderdeel van een groter onderzoek naar de cyberbeveiliging van medische apparatuur.
“SpaceCom is een ingebed Linux-systeem dat op de pomp kan draaien vanuit het slimme batterijpakket of vanuit het SpaceStation. Wanneer de pomp echter wordt aangesloten op het SpaceStation, wordt de SpaceCom van de pomp uitgeschakeld”, ontdekte de studie.
“SpaceCom fungeert als de externe communicatiemodule voor het systeem en is gescheiden van de interne werking van de pomp, ongeacht waar deze vandaan komt. Een belangrijke functie van SpaceCom is om de geneesmiddelenbibliotheek en pompconfiguratie die op de pomp zijn opgeslagen, bij te kunnen werken. De geneesmiddelenbibliotheek bevat informatie zoals afdeling en afdeling, een lijst met vooraf geconfigureerde medicijnen met hun standaardconcentraties, informatieberichten die op het scherm moeten worden afgedrukt wanneer ze worden geselecteerd, en nog belangrijker, zachte en harde limieten om medicatiefouten te voorkomen.”
Een deel van de reden waarom infuuspompen nu zo veel worden gebruikt, is omdat ze verpleegkundigen helpen bij het automatisch reguleren van doses medicijnen, waarbij sommige systemen databases gebruiken met meer dan 1500 sleutel/waarde-paren.
Een probleem waarmee cyberaanvallen kunnen worden geconfronteerd, is dat de RTOS van de pomp niet op het netwerk is aangesloten, maar dat deze toegang moet hebben om wijzigingen aan te brengen.
“Hoewel deze aanvalsketen een complete methode biedt om kritieke pompgegevens te wijzigen, is het belangrijk om de voorwaarden te herkennen die nodig zijn om deze aanval succesvol te laten zijn. Deze pompen zijn ontworpen om via een netwerk te worden aangesloten op een lokaal intern netwerk”, leggen de onderzoekers uit.
“Daarom zou een aanvaller onder normale bedrijfsomstandigheden een methode moeten hebben gevonden om toegang te krijgen tot het lokale netwerk. Zou deze aanval via internet kunnen plaatsvinden? Technisch gezien wel, maar het is zeer onwaarschijnlijk dat er een opstelling wordt gevonden waarbij een pomp is rechtstreeks verbonden met internet.”
Er zijn ook andere maatregelen genomen door B. Braun om het apparaat te beschermen, waaronder een functie die ervoor zorgt dat de pomp verzoeken negeert terwijl er al medicatie wordt toegediend, wat betekent dat de aanval alleen kan worden uitgevoerd als de pomp inactief is of in stand-bymodus tussen infusies in . Verpleegkundigen worden ook geïnstrueerd om de dosering en medicatieniveaus te controleren voordat ze iets instellen, en voorschriften in meerdere landen leggen in detail uit hoe het apparaat door verpleegkundigen moet worden beheerd.
Maar toegang krijgen tot lokale netwerken is niet zo moeilijk als het ooit was en McAfee merkte op dat “de vereisten voor deze aanval minimaal zijn en niet voldoende om de algehele dreiging te verminderen.” Zodra er toegang is tot een lokaal netwerk, kunnen cybercriminelen een aantal stappen ondernemen om hun werk gemakkelijker te maken, waaronder het wissen van de huidige vertrouwde serverconfiguratie en het herschrijven naar een door een aanvaller gecontroleerde server.
Aanvallers kunnen zelfs de hele operatie opnieuw opstarten om ervoor te zorgen dat geen van hun wijzigingen wordt opgemerkt door ziekenhuispersoneel.
Nordeck, die meer dan 20 jaar als arts in privé-omgevingen en in het Amerikaanse leger heeft gewerkt, zei dat IC's een hogedrukomgeving zijn waar er een verhoogd risico is op infusiefouten, aangezien deze kritieke en vaak medisch complexe patiënten hebben meerdere infusies die regelmatig worden aangepast.
“Fouten zijn echter niet beperkt tot de ICU en kunnen net zo gemakkelijk optreden in de klinische of poliklinische instellingen,” zei Nordeck. “In wezen is er bij elke toename van de variabele (complexiteit of scherpte van de patiënt, aantal medicijnen, snelheidsveranderingen, verhouding verpleegkundige tot patiënt, enz.) Er is een verhoogd risico op fouten.”
Nordeck voegde eraan toe dat “iets dat zo routinematig is als het te snel corrigeren van iemands hoge bloedsuikerspiegel of natriumspiegel, ervoor kan zorgen dat de hersenen opzwellen of de zenuwen beschadigen, wat kan leiden tot blijvende invaliditeit of zelfs de dood.”
Hoewel de onderzoekers opmerkten dat ransomware-aanvallen op dit moment veel waarschijnlijker zijn, was het voor zorginstellingen belangrijk om zich te wapenen tegen het soort opkomende aanvallen dat van tijd tot tijd blijft opduiken.
“Apparaatfabrikanten streven er duidelijk naar om veilige producten te produceren, zoals blijkt uit ingebouwde beveiligingen. Er kunnen echter gebreken zijn waardoor het apparaat kan bezwijken voor een losgeldaanval of mogelijk schade kan veroorzaken”, voegde Nordeck eraan toe.
“Daarom moeten fabrikanten samenwerken met beveiligingsprofessionals om hun producten onafhankelijk te testen om potentiële bedreigingen te detecteren en te corrigeren en zo de patiëntveiligheid en apparaatbeveiliging te behouden.”
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Gegevensbeheer Beveiliging TV CXO-datacenters 