Уязвимости в инфузионных помпах B. Braun позволяют посторонним менять дозировку препаратов

Ср 25 Август 2021 08:47

Команда Advanced Threat Research Team ИБ-компании McAfee Enterprise обнаружила несколько уязвимостей в инфузионных помпах от немецкого производителя медоборудования B. Braun.

Проблемы с безопасностью были обнаружены в шприцевых насосах B. Braun Infusomat Space и док-станциях SpaceStation. Как пояснили исследователи, уязвимости позволяют посторонним модифицировать настройки насоса в режиме ожидания, а именно – менять дозировки вводимых пациентам лекарственных препаратов.

Дело в том, что ОС насоса не проверяет источник команд, чем могут воспользоваться злоумышленники. Использование неаутентифицированных и незашифрованных проприетарных протоколов предоставляет хакерам дополнительные векторы атак для получения доступа к внутренним системам насоса, регулирующим дозировку каждого медпрепарата.

В ходе общения с B. Braun специалисты McAfee Enterprise ATR рассказали об обнаруженных уязвимостях и узнали, что в последней версии оборудования производитель устранил начальный вектор цепочки сетевых атак.

Уязвимости CVE-2021-33886, CVE-2021-33885, CVE-2021-33882, CVE-2021-33883 и CVE-2021-33884 затрагивают модель шприцевого насоса B. Braun Infusomat 871305U, модель док-станции SpaceStation 8713142U, одновременно обслуживающей до четырех насосов, а также компонент ПО SpaceCom (версия 012U000050). Все затронутые компоненты были выпущены в 2017 году.

«Изучая, как насос и его коммуникационный модуль обрабатывают коммуникации и файлы, мы обнаружили, что критические файлы не подписаны (CVE-2021-33885), большая часть данных передается в открытом виде (CVE-2021-33883), и в целом не хватает механизмов аутентификации (CVE-2021-33882) для используемых проприетарных протоколов», - сообщается в отчете.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 310 дней 23 часа 16 минут 13 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.