Zranitelné infuzní pumpy firmy B. Braun umožňovaly skrytě předávkovat pacienta

2. 9. 2021
Doba čtení: 6 minut

Sdílet

 Autor: B. Braun
Infuzní pumpy jsou velmi vděčným cílem výzkumu kyberbezpečnostních expertů. Není divu, vždyť i laik si dokáže představit, co dokáže napáchat hacknutá infuzní pumpa. Rychlá oprava bývá přínosná pro všechny zúčastněné.

Pozorným a pravidelným čtenářům Rootu určitě neunikla nedávná zpráva, že se týmu bezpečnostních expertů okolo firem McAfee a Culinda podařilo objevit sérii zranitelností v infuzních pumpách německé výroby. K žádnému známému útoku nedošlo, zranitelnosti byly zneužitelné jen z vnitřní sítě a firma záhy po nahlášení vydala opravy.

Celý příběh ovšem ilustruje záludnosti zdravotnictví, proto bych rád tomuto tématu dopřál trochu víc pozornosti. Než se ale dostaneme k podrobnostem, povíme si, co jsou to ty infuzní pumpy.

Co jsou infuzní pumpy?

Infuzní pumpa je medicínské zařízení, které řídí nitrožilní přísun roztoků a léčiv pacientovi. Její hlavní prací je přesně a bezpečně dávkovat léčivo danou rychlostí a v daném objemu. Mnohdy je totiž zásadní nejen celkové množství podaného léčiva, ale také rychlost, s jakou se podává. Určitá léčiva se dokonce musí podávat neustále (kontinuálně), například na podporu srdeční činnosti u kriticky nemocných. Dělat něco takového ručně je velmi svízelné, ne-li nemožné. Proto jsou zde infuzní pumpy, které průtok léčiva hlídají a řídí.

Už si asi dovedete domyslet hrozby, kterým bychom čelili, pokud by se hackerům podařilo napadnout infuzní pumpu a změnit rychlost podávání léčiva pacientovi. Jen drobnou změnou v nastavení můžete pacientovi ovlivnit hladinu cukru v krvi, hladinu různých minerálů, krevní tlak a podobně. Rychlejším nebo pomalejším podáním léčiva pacienta vystavujeme nebezpečí – od prostého zhoršení zdravotního stavu až po smrt.

Výzkumníci z lokální sítě změnili vnitřní konfiguraci pumpy

Co se tedy kyberbezpečnostním expertům povedlo? Ilustruje nám to krátké, sotva čtyřminutové video.

Výzkumníci se přes lokální síť napojí na infuzní pumpu a několika kroky v režimu standby upraví její konfigurační soubory. Poté infuzní pumpu již klasicky legálně nastaví pomocí tlačítek na určitou rychlost aplikace. (Zde tedy aplikace ve smyslu podávání léčiva, nikoli program, pozn. autora, lékaře.) Po chvíli pumpa na displeji udává, že bylo podáno 5 ml léčiva, zatímco ve stříkačce lze jasně vidět, že reálně ubylo 10 ml léčiva!

Útočníci tedy jsou schopni donutit pumpu, aby podala více léčiva a zároveň aby na displeji ukazovala jinou hodnotu, čímž předávkování pacienta skryje. V prostředí intenzivní medicíny může taková změna dávky znamenat ohrožení pacienta.

Detailní pohled na zranitelnosti

Zjištěné zranitelnosti se konkrétně týkaly infuzních pump firmy B. Braun, a to:

  • infuzní pumpy B. Braun Infusomat Space Large Volume Pump (model 871305U),
  • dokovací stanice pro 4 infuzní pumpy B. Braun SpaceStation (model 8713142U),
  • softwarové komponenty SpaceCom (konkrétně verze 012U000050).

Firma samozřejmě po zjištění zranitelností hned v lednu tohoto roku obratem a čile s výzkumníky spolupracovala na zmírnění a rychlém odstranění chyb.

Výzkumníci nejprve zjistili, že jedno z rozhraní zmíněných infuzních pump využívá open-source knihovnu json-dbus-bridge. Přestože pumpy pocházejí z roku 2017, verze této knihovny je převzatá ve verzi z roku 2015, a tedy zahrnuje i tehdy neopravené (později opravené) bezpečnostní chyby. Zrovna jedné z chyb dokázali výzkumníci využít, aby získali práva uživatele www a tím i větší přístup do systému. Toto je tedy první zranitelnost, označená jako CVE-2021–33886 a oskórovaná podle CVSS toho času 8.1 body z 10, což, jak sami uznáte, je vcelku mnoho.

Další zranitelnosti se týkají toho, že:

  • kritické soubory nejsou podepsány (CVE-2021–33885, toho času CVSS 10.0 bodů z 10!),
  • většina výměny dat v rámci systémů probíhá nešifrovaným způsobem, tj. prostým textem (CVE-2021–33883, toho času CVSS 5.9 bodů z 10),
  • chybí takřka jakákoli autentizace u použitých proprietárních protokolů (CVE-2021–33882, toho času CVSS 6.8 bodů z 10) a
  • existuje možnost neošetřeného nahrávání souborů do systémů (CVE-2021–33884, skóre CVSS 6.5 bodů z 10).

Celý řetězec se pak uzavře tím, že útočníci postupně získají práva root ke komunikačnímu modulu infuzní pumpy, přepíšou konfigurační soubory a proměnné tak, aby si pumpa přepočítávala rychlost a objem podávaného léčiva nesprávně. Nesprávná hodnota se pak ukazuje i na displeji pumpy a zdravotníci mají jen malou šanci si v běžném hektickém provozu všimnout podezřele rychlého (či pomalého) ubývání léčiva.

Je třeba upozornit na to, že ukázkový útok probíhal na lokální síti v režimu standby, tj. nešlo o nic jednoduchého a útočníci by měli fakt hodně práce se prolámat až k infuzním pumpám a navíc udělat vše nepozorovaně tak, aby si nikdo nevšiml zběsile blikajících konfiguračních kontrolek. Šlo tak o velmi hypotetické riziko.

Nejde o nic neobvyklého

Výzkumníci sami zmiňují, že u zdravotnických přístrojů nejde o žádné neobvyklé zranitelnosti. Koneckonců o podobných zranitelnostech infuzních pump jiného výrobce jsme na Rootu již psali. Ve zprávě McAfee se objevují odkazy na zranitelnosti inzulinových (tedy ne přímo infuzních) pump společnosti Medtronic a infuzních pump Hospira Symbiq.

Často staré a ne zcela zabezpečené protokoly a systémy byly původně vyvinuty v době, kdy nebývalo zvykem mít zařízení připojená k síti. Infuzní pumpa stála v místnosti sama o sobě a pokud náhodou byla připojena k počítači, pak ten jistě nebyl připojen k internetu. Doba pokročila a zařízení většinou mají nějaké bezdrátové rozhraní (bluetooth, Wi-Fi, RF atd.). Těžko byste našli infuzní pumpu přímo připojenou k internetu. Ale je dost možné, že je infuzní pumpa připojena ke komunikačnímu modulu, který je připojen k počítači, který je připojen k lokální síti, na níž je možná nějaký jiný počítač, který je připojen k internetu. A problém může přijít, byť se sítě izolují, firewallují, porty se zavírají a vůbec, dělá se všechno pro to, aby se útočník dovnitř nedostal.

Updaty zdravotnických zařízení jsou často složité. Nejde to tak, jak jsme zvyklí u operačního systému nebo webového prohlížeče. Každý update musí být důsledně otestován, aby nedošlo k ohrožení pacienta. Všechno musí být zabezpečeno v tom smyslu, aby update nerozbil nějakou životně důležitou funkci daného medicínského přístroje. To je asi každému jasné. Vždyť i operační systémy nebo kancelářský software mají své LTS verze pro firmy, které si nemohou dovolit updatem něco rozbít. Pak si dovedete představit, že ve zdravotnictví je tahle opatrnost ještě mnohonásobně vyšší. Vydávat rychlé opravy a distribuovat je plošně je tak takřka nemožné.

Je to zkrátka neustálé hledání rovnováhy mezi každodenní bezpečností pro pacienta a bezpečností v případě kybernetického útoku.

Navíc tahle zařízení (nejedná se jen o infuzní pumpy, ale také rentgeny, CT, ultrazvukové přistroje, roboty využívané při operacích atd.) většinou zaplaťpánbu nejsou připojena k internetu (ehm… stanou se i nezáměrné výjimky, zkuste si Shodan.io). Takže update, pokud už je vydán, znamená často zásah servisního technika, což není rychlé ani levné. Konkrétně zdravotnické přístroje navíc neslouží rok nebo dva, většinou jsou v provozu i desítky let. To také zrovna nezpřehledňuje situaci. Pokud máte doma starý mobilní telefon s Androidem verze 4.4 a nižší, tak asi máte velmi hrubou představu. Přesnější představu pak můžete získat zde na Rootu v seriálu Bezpečnost dat ve zdravotnictví.

Kdo by se chtěl kariérně vydat nebo se už vydal cestou např. nemocničního ajťáka, před tím smekám klobouk a přeji hodně štěstí a trpělivosti!

bitcoin_skoleni

Další čtení

Pokud byste měli čas, můžete si pročíst zprávu ManiMed německých úřadů o různých přístrojích a systémech ve zdravotnictví. Většinou se to hemží plaintextovým přenosem dat, chybějící autentizací, otevřeným nebo nezabezpečeným API, chybějícími podpisy souborů a možností podstrčení falešného updatu systému, snadné získání kořenových práv atd. atd. Důvody jsou stejné, jak uvádím výše: zdravotnictví je hrozně komplikované, přístroje slouží desítky let a byly vyvíjeny v úplně jiné offline době, updaty nejsou tak snadné, jak se zdají být, a navíc i dnešní moderní přístroje jsou vyráběny s dnešními znalostmi. Kdo ví, jaké za hrozby přijdou za pět či deset let?

A v každém případě doporučuji k přečtení zmíněnou zprávu výzkumníků McAfee a Culinda. Je napsaná moc hezky a dává dost podrobný a komplexní přehled o situaci ve zdravotnictví. Evidentně mají zkušenosti i se zdravotnictvím samotným, mají k ruce lékaře, takže se nepouštějí do rychlých soudů (které si dovolí jen ten, kdo si nikdy nesmočil ruce v téhle řece).

Autor článku