Ernstige lekken in Medfusion-infuuspomp volgend jaar gepatcht
Ernstige lekken in de Medfusion 4000 infuuspomp van fabrikant Smiths Medical, waardoor een aanvaller op afstand de bediening van het apparaat kan beïnvloeden, worden volgend jaar gepatcht. Dat meldt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.
De Medfusion 4000 is een infuuspomp die wordt gebruikt om medicatie bij acute zorg toe te dienen. Het apparaat blijkt echter vol ernstige kwetsbaarheden te zitten. Een onderdeel van de infuuspomp controleert bepaalde invoer niet goed waardoor er een buffer overflow ontstaat en een aanvaller willekeurige code kan uitvoeren. Daarnaast maakt de infuuspomp gebruik van een "hard-coded" wachtwoord voor het opzetten van een wifi-verbinding. Ook als de infuuspomp met ethernet is verbonden wordt de wifi-verbinding opgezet.
De ftp-server op de infuuspomp blijkt geen authenticatie te vereisen als er ftp-verbindingen zijn toegestaan. Zowel voor de ftp-server als telnet zijn er daarnaast hard-coded wachtwoorden, wat een andere kwetsbaarheid is. De infuuspomp controleert aangeboden certificaten niet volledig, waardoor een aanvaller tussen het apparaat en het internet een man-in-the-middle-aanval kan uitvoeren. Sommige wachtwoorden worden daarnaast in een configuratiebestand opgeslagen dat toegankelijk is als de infuuspomp is ingesteld om externe communicatie toe te staan.
Volgens het ICS-CERT zijn de kwetsbaarheden op afstand aan te vallen. In het geval van een succesvolle aanval kan de aanvaller de werking van de infuuspomp beïnvloeden. Smiths Medical zegt in januari volgend jaar met een update te komen. In de tussentijd kunnen zorgorganisaties verschillende maatregelen nemen om zich te beschermen, zoals het toekennen van een statisch ip-adres aan de infuuspomp, het toepassen van netwerksegmentatie en het netwerk op kwaadaardige dns- en dhcp-servers te monitoren.
En ik zou ook alle reaguurders willen aanraden contact op te nemen met het lokale bedrijfsleven om eens een gratis scan te doen mbt de veiligheid van de systemen aldaar. Gewoon om wat awareness te kweken, en dat je als nerd ook nuttige kanten hebt. Daar heeft de samenleving meer aan dan met zijn allen hier te reageren en te zuchten 'o o o die leveranciers toch'. Ze hebben je nodig!!!
. Gewoon om wat awareness te kweken, en dat je als nerd ook nuttige kanten hebt. Daar heeft de samenleving meer aan dan met zijn allen hier te reageren en te zuchten 'o o o die leveranciers toch'. Ze hebben je nodig!!!
Het verhaal met IP6 dat alle apparatuur direct met een eigen IP adres op het publieke internet bereikbaar moet zijn (de promotie uit de jaren 2000) is teleurstellend juist door dat gebrek. Ik ben heel blij met segmentering en dubbele beveiligingslagen. Ik hoopte dat die insteek al de standaard zouden zijn.
Het medisch apparaat uit het artikel is uitgebreid getest en zal zijn werk uitstekend doen in de omstandigheden waar hij voor bedoeld is. Met acute zorg denk ik aan levensbedreigende omstandigheden. Zoiets niet inzetten is geen optie de impact is te groot en dat hij gehackt zou kunnen worden is een ander risico dat er op dat moment minder toe doet.
Dan hoop ik oprecht dat het andere mensen zijn die de zaak moeten certificeren, een ftp account ZONDER authenticatie (één van de lekken) of telnet hoor je al 20 jaar niet meer te gebruiken. En hardcoded wachtwoorden is al helemaal not done, ook nooit geweest.
Dus bagger een product met een uitermate slechte certificeringsinstantie en een falende toezichthouder.
. Gewoon om wat awareness te kweken, en dat je als nerd ook nuttige kanten hebt. Daar heeft de samenleving meer aan dan met zijn allen hier te reageren en te zuchten 'o o o die leveranciers toch'. Ze hebben je nodig!!!
Het verhaal met IP6 dat alle apparatuur direct met een eigen IP adres op het publieke internet bereikbaar moet zijn (de promotie uit de jaren 2000) is teleurstellend juist door dat gebrek. Ik ben heel blij met segmentering en dubbele beveiligingslagen. Ik hoopte dat die insteek al de standaard zouden zijn.
IPv6 bied de mogelijkheid om zonder NAT toch alle apparatuur van een uniek adres te voorzien en daarmee toegang van en naar het internet te regelen. Het is geen MUST zoals jij beweert.
IPv6 bied de mogelijkheid om zonder NAT toch alle apparatuur van een uniek adres te voorzien en daarmee toegang van en naar het internet te regelen. Het is geen MUST zoals jij beweert.
Leg dan eens uit waarom dit soort apparatuur via internet toegankelijk moet zijn omdat IPV6 dat mogelijk maakt.
De must in het weglaten van NAT routers security ontstaat als kostenfactor. Security als kostenpost die je kan wegbezuinigen..
Zou de eerste overweging niet moeten zijn met die vraag/noodzaak. Het kan zijn dat je de trauma-arts in de VS ziet zitten en verpleging ergens in Afrika. Dan nog wil je dat niet via een publiek netwerk maar indien nodig via een afgeschermd iets.
Dan hoop ik oprecht dat het andere mensen zijn die de zaak moeten certificeren, een ftp account ZONDER authenticatie (één van de lekken) of telnet hoor je al 20 jaar niet meer te gebruiken. En hardcoded wachtwoorden is al helemaal not done, ook nooit geweest.
Dus bagger een product met een uitermate slechte certificeringsinstantie en een falende toezichthouder.
Ik ken er geen een. Je hebt gelijk dat die software belabberd is. Als er geen eis dan wel controle op is dan wordt enkel naar de bedoelde werking als geheel gekeken.
Als we een richtlijn als nen7510 nemen die veel duidelijker is al is het nergens specifiek, dan blijkt de invulling en controle net zo min perfect te gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
