Veel infuuspompen in ziekenhuizen bevatten kritieke kwetsbaarheden
Veel infuuspompen die in ziekenhuizen worden gebruikt bevatten kritieke kwetsbaarheden, zo stelt securitybedrijf Palo Alto Networks op basis van eigen onderzoek. Via de beveiligingslekken kunnen aanvallers gevoelige data stelen, systeemconfiguraties aanpassen, systemen plat leggen en verdere aanvallen op het ziekenhuisnetwerk uitvoeren.
Voor het onderzoek analyseerden onderzoekers meer dan 200.000 infuuspompen die actief bij ziekenhuizen in gebruik zijn, afkomstig van zeven verschillende fabrikanten. Bij driekwart van de geanalyseerde infuuspompen werden bekende kwetsbaarheden aangetroffen. Zo bleek 52 procent van de infuuspompen een bekend kritiek beveiligingslek uit 2019 te bevatten.
De impact van deze kwetsbaarheid, aangeduid als CVE-2019-12255, is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) is het beveiligingslek op afstand te misbruiken en vereist dit weinig technische kennis van een aanvaller. De betreffende fabrikant kwam in 2019 met beveiligingsupdates, maar die blijken bij veel infuuspompen niet te zijn geïnstalleerd. Ook andere kritieke kwetsbaarheden werden bij duizenden infuuspompen aangetroffen.
"Hoewel sommige van deze kwetsbaarheden onpraktisch zijn voor aanvallers om misbruik van te maken, tenzij ze fysiek in een organisatie aanwezig zijn, vormen ze allemaal een potentieel risico voor de veiligheid van zorgorganisaties en patiënten, met name in situaties waar aanvallers gemotiveerd zijn om extra moeite te doen voor het aanvallen van een doelwit", aldus de onderzoekers.
Ik ben wel nieuwschier hoe makkelijk het is een email te kraken van een arts voor een verrandering in in het medisch dossier door te voeren hoe gemakkelijk dat gaat.
Ik ben wel nieuwschier hoe makkelijk het is een email te kraken van een arts voor een verrandering in in het medisch dossier door te voeren hoe gemakkelijk dat gaat.
Struckto, dit is geen taak van de overheid, dat moeten instellingen zelf doen. Overheidsregels werken eerder belemmerend dan ondersteunend.
Verder zou het bevorderlijk zijn voor het begrijpen van commentaar, wanneer je er op toeziet, dat je correct Nederlands gebruikt. Nu moet ik hopen, dat je met beveiliging experts beveiligingsexperts bedoeld, dat nieuwschier vervangen moet worden door nieuwsgierig en dat je bij verrandering een typo hebt gemaakt en verandering bedoelt. Mocht ik het fout hebben, graag nog een keer in correcte bewoordingen posten a.u.b. Overigens, mocht je dyslectisch zijn o.i.d., type het dan eerst in een tekstverwerker, draai een spellingchecker en copy- -past het dan hier.
Waarom maak je dat op ?
Ze hebben gewoon zitten testen tegen een stel infuuspompen, omdat dat veel lekkerder opgepakt wordt als Groot Probleem dan een chinese webcam.
Feit is gewoon dat al dat soort embedded spul helemaal niet geschikt is om direct aan een vijandige omgeving te hangen .
Ik maak niet meteen op _dat_ die dingen in een ziekenhuis meteen aan het "gasten wifi voor bezoekers en patienten" netwerk hangen .
Ja ik heb dislectie en ben gestopt met school vandaar mijn slechte nl al eerder aan geven in een andere topic.Het is dat je geen code mag pasten want dat versta ik vloeiend zoals c of perl html javascript assembly. Nu we toch bezig zijn ben ik wel nieuwschieig na nokia en de esp chips. Als ze dit uit voeren in de hardware is xor eax,eax niet meer mogelijk.
O wacht even.....
Waarom maak je dat op ?
Ze hebben gewoon zitten testen tegen een stel infuuspompen, omdat dat veel lekkerder opgepakt wordt als Groot Probleem dan een chinese webcam.
Feit is gewoon dat al dat soort embedded spul helemaal niet geschikt is om direct aan een vijandige omgeving te hangen .
Ik maak niet meteen op _dat_ die dingen in een ziekenhuis meteen aan het "gasten wifi voor bezoekers en patienten" netwerk hangen .
Men ziet 9,8 van 10 dus dat moet wel goed mis zijn.
Kijk je verder naar de vector strings voorbeeld die van STACK-BASED BUFFER OVERFLOW CWE-121 en ziet dat er netwerk verbinding nodig is voor exploiting en bedenkt dat het geen apparaten zijn die ingeplugd zitten op het internet en het zeer onwaarschijnlijk is dat een aanvaller fysiek op de locatie komt en zowaard daalt het risico ineens van 9.8 naar een 6.1
Dan vervolgens bekijk je de mitigation die al beschikbaar is en dat er patches zijn en je kunt de temporal score aanpassen met Official fix (O) En er is geen Proof of Concept opgenomen in de report dus die moet op unknown en de temporal daalt ook naar een 5.1
Zou je dit dan bespreken met je Security consultant dan kom je al gauw op een Accepted Risk (AR) schatting en inplannen voor patch tijdens regulier onderhoud van de hardware om later tot een Resolved status te komen bij een herscan waar waarschijnlijk dan al weer tig andere lekken gevonden zijn.
Of denkt enig iemand hier echt dat men bij het zien van dit rapport ala minuut alle infuuspompen beschikbaar stelt voor nood patching op een centrale werkplaats? Zou een leuke afdeling overleg worden ik zie de gezichten nu al voor me.
Ik maak me pas zorgen als op mijn bureau geen boekwerk aan security risks ligt voor audit omdat ik dan zeker weet dat de analisten dan hun werk niet goed gedaan hebben en we te maken hebben met verhoogd risico op unknowns.
Een goede patch en lifecycle moet gewoon verplicht worden aan leveranciers. Die keurmerken zijn totaal wassen neus.
Een goede patch en lifecycle moet gewoon verplicht worden aan leveranciers. Die keurmerken zijn totaal wassen neus
Technisch is het dus mogelijk een bloed groep te verranderen van patienten en kan je hieruit op maken dat zieken huis instelligen een directe bedreiging zijn voor cyber aanvallen en internationaal terrorisme. Dit valt meer onder de mivd lijkt mij want het kabinet laat hier wel een enorme steek liggen.
Een goede patch en lifecycle moet gewoon verplicht worden aan leveranciers. Die keurmerken zijn totaal wassen neus
Technisch is het dus mogelijk een bloed groep te verranderen van patienten en kan je hieruit op maken dat zieken huis instelligen een directe bedreiging zijn voor cyber aanvallen en internationaal terrorisme. Dit valt meer onder de mivd lijkt mij want het kabinet laat hier wel een enorme steek liggen.
Wat ik wil weten als patienten zoals mijn vader die suiker ziekte hebben of het infuus ook gekoppeld is aan het wifi netwerk en zo slecht is. Dan maak ik mij ernstige zorgen over zijn medische behandeling. Ik vraag me af wat die zusters daar doen in die ziekenhuizen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
