Ministerstvo vnitřní bezpečnosti Spojených států amerických varuje před kritickými zranitelnostmi infuzních pump od společnosti Smith Medical. Jedná se konkrétně o produkt Medfusion 4000 Wireless Syringe Infusion Pump a úspěšný útok využívající chyby softwaru umožní vzdálenému útočníkovi získat neautorizovaný přístup k ovládání infuzní pumpy. Nelze vyloučit ani možnost ovlivnit probíhající léčbu pacienta.
Infuzní pumpa je zařízení, které řídí přísun roztoků a léčiv (povětšinou nitrožilně, případně jinou injekční cestou). Její vzdálené ovládnutí útočníkem tedy může ohrozit pacientovo zdraví či život.
Chyb v softwaru těchto pump bylo nalezeno hned několik. Na prvním místě bych vyzdvihl donekonečna omílané natvrdo naprogramované přístupové údaje. Ty jsou v infuzní pumpě použity k automatickému navázání bezdrátové komunikace. Další natvrdo naprogramované přístupové údaje jsou v FTP serveru pumpy. FTP server pumpy mimochodem nevyžaduje žádnou autentizaci uživatele, což je další z chyb. Jiné přístupové údaje jsou natvrdo nakódovány pro Telnet. A uživatelsky nastavená hesla jsou uložena textově v konfiguračním souboru v infuzní pumpě.
Při komunikaci infuzní pumpa nevaliduje použitý certifikát, čímž je otevřená man-in-the-middle útokům. Další zranitelnosti se týkají přetečení bufferu a možnost shození komunikačního modulu infuzní pumpy.
Řešení bude až v lednu 2018
Společnost Smith Medical plánuje vydat novou verzi softwaru až v lednu 2018, do té doby doporučuje pumpám přiřadit statickou IP adresu a monitorovat provoz na síti (včetně DNS a DHCP serverů), oddělit síťový provoz od ostatní infrastruktury a nakonec používat silná hesla, která nejsou použita nikde jinde (bodejť, když jsou z infuzní pumpy snadno čitelná z konfiguračního souboru…).
Mezi další rady patří zvážit, zdali je nutné mít infuzní pumpu zapojenou v síti, vypnout její FTP server (což údajně může ale ovlivnit některé funkce infuzní pumpy), zavřít porty 20/FTP, 21/FTP a 23/Telnet a používat aktuální software.
Bezpečnost zdravotnických přístrojů stále klopýtá
Aktuální problém s infuzními pumpami není první ani poslední.
Například v roce 2015 měly problém pumpy od společnosti Baxter. Část zranitelností se opět týkala natvrdo naprogramovaných přístupových údajů, citlivých informací uložených v obyčejném textu a přístupném FTP protokolu se známými přístupovými údaji.
Další aféra z roku 2015 byla u produktů firmy Hospira. Rádoby překvapivě se jednalo opět o natvrdo uložená hesla, dále pak otevřený Telnet s právy roota, možnost instalace knihoven z neautorizovaného zdroje, ukládání citlivých dat v plaintextu a možnost přetečení bufferu s vložením škodlivého kódu.
Problematika kyberbezpečnosti medicínských zařízení je složitá, už jsme o tom na Rootu několikrát psali. Před pár dny (6. září 2017) vydal americký Úřad pro kontrolu potravin a léčiv (Food and Drug Administration, FDA) doporučení pro výrobce těchto přístrojů. Konkrétně u infuzních pump doporučuje velkou opatrnost a důsledné testování v případě, že infuzní pumpa je pooužita pro dávkování anestetik nebo pokud přijímá pacientská data z ostatních zařízení (pulzní oxymetry, ventilátor pro dechovou podporu, monitor krevního tlaku, apod.) a používá tato data pro úpravu dávkování léčiv.
V červenci 2017 také americký senátor Richard Blumenthal z Connecticutu navrhl zpřísnit pravidla pro zdravotnické přístroje. Cílem úprav je lépe chránit citlivé informace o pacientech a vytvořit silnější ochranu proti možnému napadení a zneužití připojených zařízení. Nový zákon by jednak nařizoval výrobcům, aby u zařízení připojených do sítě a umožňujících vzdálený přístup byla data zabezpečena a šifrována a veškeré přístupy autentizovány a zalogovány. A jednak by také vymáhal uvolňování kritických bezpečnostních záplat zdarma bez dalších poplatků za servis. Další legislativní proces u tohoto návrhu zatím neproběhl, tak uvidíme, jak to dopadne.
ČLÁNKY DO MAILU