image

Ernstige lekken in Medfusion-infuuspomp volgend jaar gepatcht

vrijdag 8 september 2017, 14:13 door Redactie, 6 reacties

Ernstige lekken in de Medfusion 4000 infuuspomp van fabrikant Smiths Medical, waardoor een aanvaller op afstand de bediening van het apparaat kan beïnvloeden, worden volgend jaar gepatcht. Dat meldt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid.

De Medfusion 4000 is een infuuspomp die wordt gebruikt om medicatie bij acute zorg toe te dienen. Het apparaat blijkt echter vol ernstige kwetsbaarheden te zitten. Een onderdeel van de infuuspomp controleert bepaalde invoer niet goed waardoor er een buffer overflow ontstaat en een aanvaller willekeurige code kan uitvoeren. Daarnaast maakt de infuuspomp gebruik van een "hard-coded" wachtwoord voor het opzetten van een wifi-verbinding. Ook als de infuuspomp met ethernet is verbonden wordt de wifi-verbinding opgezet.

De ftp-server op de infuuspomp blijkt geen authenticatie te vereisen als er ftp-verbindingen zijn toegestaan. Zowel voor de ftp-server als telnet zijn er daarnaast hard-coded wachtwoorden, wat een andere kwetsbaarheid is. De infuuspomp controleert aangeboden certificaten niet volledig, waardoor een aanvaller tussen het apparaat en het internet een man-in-the-middle-aanval kan uitvoeren. Sommige wachtwoorden worden daarnaast in een configuratiebestand opgeslagen dat toegankelijk is als de infuuspomp is ingesteld om externe communicatie toe te staan.

Volgens het ICS-CERT zijn de kwetsbaarheden op afstand aan te vallen. In het geval van een succesvolle aanval kan de aanvaller de werking van de infuuspomp beïnvloeden. Smiths Medical zegt in januari volgend jaar met een update te komen. In de tussentijd kunnen zorgorganisaties verschillende maatregelen nemen om zich te beschermen, zoals het toekennen van een statisch ip-adres aan de infuuspomp, het toepassen van netwerksegmentatie en het netwerk op kwaadaardige dns- en dhcp-servers te monitoren.

Image

Reacties (6)
09-09-2017, 15:35 door Anoniem
Voordat allerlei wannabe-beveiligers gaan klagen waarom eea zo lang moet duren: dit komt omdat bij wijziging van de software van een medisch apparaat eea opnieuw gecertificeerd moet worden. Dit ivm de veiligheid van werking voor de patient. Dat dit een beetje raar is uiteraard, gedurende al die tijd zou de patient zijn pomp gehackt kunnen worden! Maar de kans hierop is maar klein.
En ik zou ook alle reaguurders willen aanraden contact op te nemen met het lokale bedrijfsleven om eens een gratis scan te doen mbt de veiligheid van de systemen aldaar. Gewoon om wat awareness te kweken, en dat je als nerd ook nuttige kanten hebt. Daar heeft de samenleving meer aan dan met zijn allen hier te reageren en te zuchten 'o o o die leveranciers toch'. Ze hebben je nodig!!!
10-09-2017, 09:58 door karma4
15:35 door Anoniem: ..
. Gewoon om wat awareness te kweken, en dat je als nerd ook nuttige kanten hebt. Daar heeft de samenleving meer aan dan met zijn allen hier te reageren en te zuchten 'o o o die leveranciers toch'. Ze hebben je nodig!!!
Hee goed anoniem. Ik erger me al tijden aan de OS-flamings met het gebrek aan risico en impact overwegingen.
Het verhaal met IP6 dat alle apparatuur direct met een eigen IP adres op het publieke internet bereikbaar moet zijn (de promotie uit de jaren 2000) is teleurstellend juist door dat gebrek. Ik ben heel blij met segmentering en dubbele beveiligingslagen. Ik hoopte dat die insteek al de standaard zouden zijn.

Het medisch apparaat uit het artikel is uitgebreid getest en zal zijn werk uitstekend doen in de omstandigheden waar hij voor bedoeld is. Met acute zorg denk ik aan levensbedreigende omstandigheden. Zoiets niet inzetten is geen optie de impact is te groot en dat hij gehackt zou kunnen worden is een ander risico dat er op dat moment minder toe doet.
10-09-2017, 12:11 door Anoniem
Door Anoniem: Voordat allerlei wannabe-beveiligers gaan klagen waarom eea zo lang moet duren: dit komt omdat bij wijziging van de software van een medisch apparaat eea opnieuw gecertificeerd moet worden.

Dan hoop ik oprecht dat het andere mensen zijn die de zaak moeten certificeren, een ftp account ZONDER authenticatie (één van de lekken) of telnet hoor je al 20 jaar niet meer te gebruiken. En hardcoded wachtwoorden is al helemaal not done, ook nooit geweest.

Dus bagger een product met een uitermate slechte certificeringsinstantie en een falende toezichthouder.
10-09-2017, 12:16 door Anoniem
Door karma4:
15:35 door Anoniem: ..
. Gewoon om wat awareness te kweken, en dat je als nerd ook nuttige kanten hebt. Daar heeft de samenleving meer aan dan met zijn allen hier te reageren en te zuchten 'o o o die leveranciers toch'. Ze hebben je nodig!!!
Hee goed anoniem. Ik erger me al tijden aan de OS-flamings met het gebrek aan risico en impact overwegingen.
Het verhaal met IP6 dat alle apparatuur direct met een eigen IP adres op het publieke internet bereikbaar moet zijn (de promotie uit de jaren 2000) is teleurstellend juist door dat gebrek. Ik ben heel blij met segmentering en dubbele beveiligingslagen. Ik hoopte dat die insteek al de standaard zouden zijn.

IPv6 bied de mogelijkheid om zonder NAT toch alle apparatuur van een uniek adres te voorzien en daarmee toegang van en naar het internet te regelen. Het is geen MUST zoals jij beweert.
10-09-2017, 15:09 door karma4 - Bijgewerkt: 10-09-2017, 15:10
Door Anoniem:
IPv6 bied de mogelijkheid om zonder NAT toch alle apparatuur van een uniek adres te voorzien en daarmee toegang van en naar het internet te regelen. Het is geen MUST zoals jij beweert.
http://ipv6now.com.au/whyipv6.php
Leg dan eens uit waarom dit soort apparatuur via internet toegankelijk moet zijn omdat IPV6 dat mogelijk maakt.
De must in het weglaten van NAT routers security ontstaat als kostenfactor. Security als kostenpost die je kan wegbezuinigen..
Zou de eerste overweging niet moeten zijn met die vraag/noodzaak. Het kan zijn dat je de trauma-arts in de VS ziet zitten en verpleging ergens in Afrika. Dan nog wil je dat niet via een publiek netwerk maar indien nodig via een afgeschermd iets.
11-09-2017, 08:55 door karma4
Door Anoniem:
Dan hoop ik oprecht dat het andere mensen zijn die de zaak moeten certificeren, een ftp account ZONDER authenticatie (één van de lekken) of telnet hoor je al 20 jaar niet meer te gebruiken. En hardcoded wachtwoorden is al helemaal not done, ook nooit geweest.

Dus bagger een product met een uitermate slechte certificeringsinstantie en een falende toezichthouder.
Geef eens een voorbeeld van een keuringsinstantie waarbij embedded software apart op kwaliteit bekeken wordt.
Ik ken er geen een. Je hebt gelijk dat die software belabberd is. Als er geen eis dan wel controle op is dan wordt enkel naar de bedoelde werking als geheel gekeken.
Als we een richtlijn als nen7510 nemen die veel duidelijker is al is het nergens specifiek, dan blijkt de invulling en controle net zo min perfect te gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.