Jonathan Greig er journalist baseret i New York City.
Fuld bio den 8. marts 2022 | Emne: Sikkerhed
I en undersøgelse af mere end 200.000 infusionspumper på netværk af flere sundhedsorganisationer opdagede Palo Alto Networks sikkerhedsforskere, at mere end 52 % var modtagelige for to kendte sårbarheder, der blev afsløret i 2019 – en med en “kritisk” sværhedsgrad og anden med en “høj” sværhedsgrad.
Palo Alto Networks Unit 42 udgav en rapport, der undersøgte 200.000 infusionspumper på netværkene af hospitaler og klinikker, der bruger deres sikkerhedsprogram til IoT-enheder.
“En alarmerende 75% af de scannede infusionspumper havde kendte sikkerhedshuller, der satte dem i øget risiko for at blive kompromitteret af angribere,” sagde forskerne. “Disse mangler omfattede eksponering for en eller flere af omkring 40 kendte cybersikkerhedssårbarheder og/eller advarsler om, at de havde en eller flere af omkring 70 andre typer af kendte sikkerhedsmangler for IoT-enheder.”
Rapporten viser flere sårbarheder, der påvirker de fleste infusionspumper, herunder CVE-2019-12255, CVE-2019-12264, CVE-2016-9355, CVE-2016-8375, CVE-2020-25165, CVE-2020-12040, CVE-12040, CVE-12040, CVE-12040, CVE-12040, CVE-12040, CVE-2016-8375 -2020-12045, CVE-2020-12043 og CVE-2020-12041.
CVE-2019-12255, som havde en vurdering på 9,8, blev fundet i 52,11 % af alle de infusionspumper, som Palo Alto kiggede på. CVE-2020-12040, CVE-2020-12047, CVE-2020-12045, CVE-2020-12043 og CVE-2020-12041 havde alle vurderinger på 9,8 og blev fundet i mindst 15 % af de undersøgte infusionspumper.
Aveek Das, Unit 42-forskeren, der udførte undersøgelsen, fortalte ZDNet, at trusselsaktører potentielt kunne udnytte nogle af disse sårbarheder til at tage kontrol over pumpefunktioner, herunder medicindosering.
< stærk >Også: Nogle 'Smol' NFT'er vendte tilbage efter Treasure marketplace-udnyttelse fører til tyveri
Das tilføjede, at de problemer, de opdagede, er “bare toppen af isbjerget” og bemærkede, at det var sandsynligt, at de ville finde lignende ting med andre tilsluttede enheder på hospitaler.
“Vi fokuserede på infusionspumper, fordi de er så udbredte — de tegner sig for 44 % af alt medicinsk udstyr og er den mest udbredte type tilsluttede enheder i sundhedssektoren,” sagde Das.
De fleste store hospitalssystemer har tusindvis af infusionspumper, hvilket gør det svært for sikkerhedsteams at administrere og finde ud af, hvilke der skal udskiftes eller opdateres.
“De mest almindelige sårbarheder, vi observerede, og som er specifikke for de infusionssystemer, vi undersøgte, kan grupperes i flere kategorier i henhold til de virkninger, de kan have: lækage af følsom information, uautoriseret adgang og overløb. Andre sårbarheder stammer fra tredjeparts TCP/IP stakke, men kan påvirke enhederne og deres operativsystemer,” forklarede forskerne.
“Vi observerer, at et stort antal sårbarheder i infusionspumpesystemer – og i Internet of Medical Things (IoMT) enheder generelt – er relateret til lækage af følsom information. Enheder, der er sårbare over for denne type problemer, kan lække driftsinformation, patientspecifikke data , eller enheds- eller netværkskonfigurationsoplysninger. Angribere, der ønsker at udnytte disse sårbarheder, har brug for forskellige grader af adgang. For eksempel kan CVE-2020-12040, som er specifik for klartekstkommunikationskanaler, fjernudnyttes af en angriber via en mand- in-the-midten angreb for at få adgang til al kommunikationsinformation mellem en infusionspumpe og en server. På den anden side kan CVE-2016-9355 og CVE-2016-8375 udnyttes af en person med fysisk adgang til en infusionspumpeanordning til at få adgang til følsomme oplysninger – hvilket gør angrebet mindre sandsynligt, men stadig muligt for en angriber med specifikke motiver.”
Rapporten tilføjer, at nogle af de andre opdagede sårbarheder kan give uautoriserede brugere mulighed for at få adgang til en enhed eller sende netværkstrafik i et bestemt mønster, der kan forårsage, at en enhed ikke reagerer eller fungerer på en måde, som ikke forventes.
Forskerne sagde, at sårbarhederne kan føre til en række dårlige resultater, herunder forstyrrelser af hospitalsdrift og patientbehandling.
“Kontinuerlig brug af standardlegitimationsoplysninger, som er let tilgængelige online via en simpel søgning, er et andet stort problem i IoT-enheder generelt – da det kan give alle, der er i samme hospitalsnetværk som det medicinske udstyr, direkte adgang til dem,” sagde rapporten.
“Mange IoMT (og IoT) enheder og deres operativsystemer bruger tredjeparts biblioteker på tværs af platforme, såsom netværksstakke, som kan have sårbarheder, der påvirker den pågældende enhed. For eksempel til CVE-2019-12255 og CVE 2019-12264 , er den sårbare TCP/IP-stak IPNet en komponent af ENEA OS af Alaris Infusion Pumps, og gør derved enhederne sårbare.”
Infusionspumper har længe været en kilde til vrede for cybersikkerhedseksperter og -leverandører, der har brugt mere end et årti på at forbedre deres sikkerhed. Palo Alto bemærkede, at US Food and Drug Administration annoncerede syv tilbagekaldelser af infusionspumper eller deres komponenter i 2021 og ni yderligere tilbagekaldelser i 2020.
Der har også været en bevægelse for at etablere et basisniveau for cybersikkerhed for industrien, men det er blevet hæmmet af det faktum, at de fleste infusionspumper holder omkring 10 år. Det betyder, at mange hospitaler bruger år gamle pumper, hvilket gør det sværere at anvende nyere sikkerhedsfunktioner.
Palo Alto kunne ikke sige, om disse sårbarheder nogensinde er blevet udnyttet, og næsten ingen kontaktet ekspert kunne identificere situationer, hvor disse sårbarheder blev brugt under angreb.
Men Casey Ellis, CTO hos Bugcrowd, sagde, at sikkerhedsproblemer med medicinsk udstyr er utroligt personlige og foruroligende.
“Jeg har set trådløs udnyttelse af lignende systemer, der blev brugt til at skabe tilstand, som var i stand til at dumpe hele indholdet af en infusionspumpe eller få en pacemaker til at aflade sit batteri på én gang. Disse sårbarheder har ikke den samme form for øjeblikkelig sikkerhed implikation, men en angriber kunne nemt udnytte fejlene i informationslækage, for eksempel til at få data, der kan bruges til at true og afpresse en bruger med et lignende resultat,” sagde Ellis.
“Medicinsk udstyr er tæt knyttet til deres bruger, og i tilfælde af et målrettet angreb spænder mulighederne fra afpresning til overvågning til direkte kompromittering af individet selv. Sårbarhederne i rapporten ser ikke ud til at være direkte knyttet til evnen at skade en bruger, men hvor der er røg, er der normalt ild. Rapportens implikation er, at softwaresårbarheder (og forsinkelser i patcherne) er et systemisk problem med medicinsk udstyr. Dette er til dels et område med vigtige forbedringer for medicinsk udstyr. enhedsproducenter, og til dels en udfordring med at teste og opdatere sikkerhedskritiske systemer.”
Sikkerhed
NSA: Sådan skal du sikre dit netværk Ukraine er ved at bygge en ' IT-hær' af frivillige. Det er aldrig blevet prøvet før Dette er, hvad der sker, når to ransomware-bander hacker det samme mål på samme tid. Nogle filer bliver muligvis ikke slettet, når du nulstiller en Windows-pc Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls Sikkerheds-tv | Datastyring | CXO | Datacentre