Onderzoekers hebben verschillende kwetsbaarheden in een infuuspomp van B. Braun ontdekt waardoor het mogelijk is voor een aanvaller om de medicatiedosis aan te passen. Het gaat in totaal om vijf beveiligingslekken die door onderzoekers van securitybedrijf McAfee werden ontdekt.
Zo wordt onder andere de authenticiteit van gegevens niet goed geverifieerd. Een aanvaller kan hierdoor malafide data naar de infuuspomp sturen die in plaats van de correcte data wordt gebruikt. Dit is mogelijk door het ontbreken van een digitale handtekening voor de belangrijke datasets. Verder blijkt dat het mogelijk is om gevaarlijke bestandstypes te uploaden en zo belangrijke bestanden te overschrijven.
De infuuspomp blijkt daarnaast gevoelige informatie onversleuteld te versturen en is het door een gebrek aan authenticatie mogelijk om de configuratie van het apparaat aan te passen. De vijfde kwetsbaarheid maakt het voor een ongeauthenticeerde aanvaller mogelijk om commandline-toegang tot de infuuspomp te krijgen. Om de aanvallen uit te kunnen voeren moet de aanvaller wel op hetzelfde netwerk als de infuuspomp zitten.
De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 5,8 tot een 9,7. Fabrikant B. Braun heeft inmiddels updates uitgebracht. De onderzoekers stellen dat kwetsbare versies van de software nog steeds op grote schaal binnen ziekenhuizen worden gebruikt en daardoor risico op aanvallen lopen. Totdat organisaties de updates hebben geïnstalleerd wordt aangeraden de infuuspompen op eventuele aanvallen te monitoren.
Deze posting is gelocked. Reageren is niet meer mogelijk.