Pompy infuzyjne Sigma Spectrum oraz akumulatorach Sigma Wi-Fi posiadają cztery luki w zabezpieczeniach – poinformowała organizacja Rapid7 zajmująca się cyberbezpieczeństwem. Wspomniany sprzęt produkcji firmy Baxter jest szeroko stosowany w szpitalach w USA i innych krajach, w tym także w Polsce. Wykorzystanie luk przebadanych przez Rapid7 mogłoby skutkować dostępem do poufnych danych przechowywanych na urządzeniu, a nawet zmianą konfiguracji systemu. Badanie wykazało, że nie mniej niż 75% pomp posiada takie błędy.
Luki w zabezpieczeniach pomp infuzyjnych
Wykryte uchybienia związane są w głównej mierze z bezpiecznym wycofywaniem z użytku modułów akumulatorowych. Urządzenia medyczne tego typu zazwyczaj posiadają zapisane dane uwierzytelniające sieci WiFi, do której były podłączone. Dane takie przed wycofaniem urządzenia z użytku powinny być najpierw usunięte. Jednak jak możemy się dowiedzieć, reset pompy do ustawień fabrycznych wcale ich ostatecznie nie usuwa. W przypadku sprzedaży baterii na rynku wtórnym dane uwierzytelniające mogą z łatwością przejść w ręce niepowołanych osób.
Deral Heiland – specjalista ds. urządzeń IoT zauważył, że posiadanie dostępu sieciowego do pompy umożliwiłoby przeprowadzenie ataku typu „man in the middle”. Atak taki charakteryzuje się podsłuchiwaniem wymiany danych między stronami komunikacji i modyfikacją jej, podszywając się pod jedną ze stron. Tak więc mogłoby to spowodować uniemożliwienie prawidłowego działania pompy, a w konsekwencji błędy w dawkowaniu pompowanych leków.
Luka nie została oceniona jako krytyczna, jednakże firma Baxter potraktowała ostrzeżenia poważnie i opracowała środki zapobiegawcze. Zaktualizowane zostały zabezpieczenia stosowane w tego typu sprzęcie, co pozwoliło wyeliminować lukę, która mogła prowadzić do wycieku danych uwierzytelniających. Uaktualnione zostały także instrukcje dla użytkowników dotyczące usuwania danych z urządzenia przed wycofaniem z eksploatacji. Producent poinformował także, że jesienią zostanie wydana aktualizacja dla platform pomp Spectrum i modułów akumulatorowych, która powinna wyeliminować pozostałe luki.
Podsumowanie
Pompy infuzyjne i ich podatność na ataki hakerów od dawna znajdują się pod lupą ekspertów ds. cyberbezpieczeństwa. W marcu br. analitycy Palo Alto Networks odkryli podatność ponad 100 tysięcy pomp na dwie znane od 2019 r. luki. Amerykańska Agencja ds. Żywności i Leków (FDA) w 2021 r. siedmiokrotnie ogłosiła wycofanie pomp infuzyjnych lub ich komponentów. W 2020 r. miało to miejsce dziewięciokrotnie.
Koncern B.Braun w zeszłym roku (2021) również był zmuszony zaktualizować kilka partii wadliwych pomp dożylnych. Było to konsekwencją odkrycia przez badaczy z McAfee luk umożliwiających atakującym zmianę dawki podawanego leku.
Life Critical Network, czyli sieci urządzeń podtrzymujących funkcje życiowe pacjentów powinny być przede wszystkim bezwzględnie oddzielone od wszystkich innych sieci. Takie działanie skutecznie zapobiegnie narażeniu urządzeń medycznych na potencjalne ataki – podsumował Heiland z Rapid7.
Źródło: https://therecord.media/four-vulnerabilities-discovered-in-popular-infusion-pumps-wifi-batteries/
