Een medisch infuussysteem dat ziekenhuizen gebruiken om patiënten van geneesmiddelen te voorzien bevat tal van kwetsbaarheden, waardoor een aanvaller alle infuussystemen in het ziekenhuis volledig kan overnemen of kan saboteren zodat ze stoppen met werken. De onderzoeker die de beveiligingslekken ontdekte zegt dan ook dat hij zeer bezorgd zou zijn als een dergelijk infuussysteem op hem zou worden aangesloten.
De problemen bevinden zich in de PCA3 medische infuussystemen van fabrikant Hospira. De apparaten worden in levenskritieke omgevingen gebruikt en in een "Life Critical Network" binnen ziekenhuizen uitgerold. Onderzoeker Jeremy Richards noemt het de slechtst beveiligde IP-apparaten die hij ooit is tegengekomen. Het is namelijk eenvoudig om een laptop op het infuussysteem aan te sluiten en de draadloze encryptiesleutels te kopiëren, die zich in platte tekst op het apparaat bevinden.
Zodra er verbinding met het Life Critical Network is gemaakt heeft een aanvaller volledige controle over alle infuussystemen in het ziekenhuis. Het beheer van de apparaten vereist namelijk geen gebruikersnaam of wachtwoord. Zelfs als er inloggegevens voor de Telnet-poort zouden worden gebruikt, zijn er nog steeds webservices waarmee een aanvaller zonder inloggegevens de medicijnbibliotheek kan aanpassen en software updates en opdrachten kan uitvoeren. Verder zijn er ook nog FTP-accounts met "hardcoded" wachtwoorden. Het systeem is daarnaast zo slecht geprogrammeerd dat het met een enkele typefout onbruikbaar is te maken.
Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid heeft inmiddels een waarschuwing voor het systeem afgegeven en zegt dat de fabrikant aan een oplossing werkt. Het ICS-CERT zou al sinds mei 2014 met Hospira in overleg zijn, nadat een andere onderzoeker dezelfde kwetsbaarheden in het systeem had ontdekt. Wanneer die oplossing verschijnt is echter onbekend. Ook stelt Hospira dat het niet mogelijk is om de infuussystemen op afstand te bedienen. Wel is het mogelijk om de medicijnbibliotheken en configuratie van het infuus aan te passen.
Deze posting is gelocked. Reageren is niet meer mogelijk.