Ernstige lekken in de Medfusion 4000 infuuspomp van fabrikant Smiths Medical, waardoor een aanvaller op afstand de bediening van het apparaat kan beïnvloeden, worden volgend jaar gepatcht. Dat meldt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.
De Medfusion 4000 is een infuuspomp die wordt gebruikt om medicatie bij acute zorg toe te dienen. Het apparaat blijkt echter vol ernstige kwetsbaarheden te zitten. Een onderdeel van de infuuspomp controleert bepaalde invoer niet goed waardoor er een buffer overflow ontstaat en een aanvaller willekeurige code kan uitvoeren. Daarnaast maakt de infuuspomp gebruik van een "hard-coded" wachtwoord voor het opzetten van een wifi-verbinding. Ook als de infuuspomp met ethernet is verbonden wordt de wifi-verbinding opgezet.
De ftp-server op de infuuspomp blijkt geen authenticatie te vereisen als er ftp-verbindingen zijn toegestaan. Zowel voor de ftp-server als telnet zijn er daarnaast hard-coded wachtwoorden, wat een andere kwetsbaarheid is. De infuuspomp controleert aangeboden certificaten niet volledig, waardoor een aanvaller tussen het apparaat en het internet een man-in-the-middle-aanval kan uitvoeren. Sommige wachtwoorden worden daarnaast in een configuratiebestand opgeslagen dat toegankelijk is als de infuuspomp is ingesteld om externe communicatie toe te staan.
Volgens het ICS-CERT zijn de kwetsbaarheden op afstand aan te vallen. In het geval van een succesvolle aanval kan de aanvaller de werking van de infuuspomp beïnvloeden. Smiths Medical zegt in januari volgend jaar met een update te komen. In de tussentijd kunnen zorgorganisaties verschillende maatregelen nemen om zich te beschermen, zoals het toekennen van een statisch ip-adres aan de infuuspomp, het toepassen van netwerksegmentatie en het netwerk op kwaadaardige dns- en dhcp-servers te monitoren.
Deze posting is gelocked. Reageren is niet meer mogelijk.