Beveiligingsonderzoeker Scott Gayou heeft details over kwetsbaarheden in een medische infuuspomp van Smiths Medical openbaar gemaakt om zo andere onderzoekers op weg te helpen bij het onderzoeken van Internet of Things-apparaten. Het gaat om de Medfusion 4000 infuuspomp die wordt gebruikt om medicatie bij acute zorg toe te dienen. Via de kwetsbaarheden die Gayou ontdekte kan een aanvaller op afstand willekeurige code op het apparaat uitvoeren of een denial of service veroorzaken.
Een onderdeel van de infuuspomp controleerde bepaalde invoer niet goed waardoor er een buffer overflow ontstond en een aanvaller willekeurige code had kunnen uitvoeren. Daarnaast maakte de infuuspomp gebruik van een "hard-coded" wachtwoord voor het opzetten van een wifi-verbinding. Ook als de infuuspomp met ethernet is verbonden werd de wifi-verbinding opgezet. De ftp-server op de infuuspomp bleek geen authenticatie te vereisen als er ftp-verbindingen zijn toegestaan.
Zowel voor de ftp-server als telnet waren er daarnaast hard-coded wachtwoorden, wat een andere kwetsbaarheid is. De infuuspomp controleerde aangeboden certificaten niet volledig, waardoor een aanvaller tussen het apparaat en het internet een man-in-the-middle-aanval had kunnen uitvoeren. Sommige wachtwoorden werden daarnaast in een configuratiebestand opgeslagen dat toegankelijk is als de infuuspomp is ingesteld om externe communicatie toe te staan.
Smiths Medical kwam vorig jaar met beveiligingsupdates voor het apparaat. Vandaag heeft Gayou een uitgebreide analyse online gezet waarin hij de kwetsbaarheden en het onderzoek bespreekt. De onderzoeker was tussen maart en juni 2017 zo'n 400 uur bezig met het onderzoek naar de infuuspomp. "Het doel van deze exercitie was het beschermen van patiënten die afhankelijk zijn van de behandeling die deze infuuspomp biedt, om het bewustzijn te vergroten van het risico dat ongepatchte versies van dit apparaat vormen en als laatste bij te dragen aan onderzoek naar de veiligheid van het Internet of Things", aldus Gayou.
Volgens de onderzoeker is er genoeg informatie en literatuur over het reverse engineeren en exploiten van standaard Windows- of Linux-bestanden te vinden, maar is er weinig informatie over het aanvallen van embedded systemen. Door zijn onderzoek openbaar te maken wil Gayou meer inzicht bieden in het uitvoeren van embedded beveiligingsonderzoek. "Er is veel discussie over IoT-security, maar niet veel gedetailleerde technische content om onderzoekers te helpen. Ik wil laten zien dat het proces bijna hetzelfde is als het onderzoeken van andere platformen, zolang de onderzoeker maar een nieuwe instructieset wil leren en uren wil investeren in het bekend raken met een onbekend besturingssysteem."
Deze posting is gelocked. Reageren is niet meer mogelijk.