image

Veel infuuspompen in ziekenhuizen bevatten kritieke kwetsbaarheden

donderdag 3 maart 2022, 11:18 door Redactie, 12 reacties

Veel infuuspompen die in ziekenhuizen worden gebruikt bevatten kritieke kwetsbaarheden, zo stelt securitybedrijf Palo Alto Networks op basis van eigen onderzoek. Via de beveiligingslekken kunnen aanvallers gevoelige data stelen, systeemconfiguraties aanpassen, systemen plat leggen en verdere aanvallen op het ziekenhuisnetwerk uitvoeren.

Voor het onderzoek analyseerden onderzoekers meer dan 200.000 infuuspompen die actief bij ziekenhuizen in gebruik zijn, afkomstig van zeven verschillende fabrikanten. Bij driekwart van de geanalyseerde infuuspompen werden bekende kwetsbaarheden aangetroffen. Zo bleek 52 procent van de infuuspompen een bekend kritiek beveiligingslek uit 2019 te bevatten.

De impact van deze kwetsbaarheid, aangeduid als CVE-2019-12255, is op een schaal van 1 tot en met 10 met een 9.8 beoordeeld. Volgens het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) is het beveiligingslek op afstand te misbruiken en vereist dit weinig technische kennis van een aanvaller. De betreffende fabrikant kwam in 2019 met beveiligingsupdates, maar die blijken bij veel infuuspompen niet te zijn geïnstalleerd. Ook andere kritieke kwetsbaarheden werden bij duizenden infuuspompen aangetroffen.

"Hoewel sommige van deze kwetsbaarheden onpraktisch zijn voor aanvallers om misbruik van te maken, tenzij ze fysiek in een organisatie aanwezig zijn, vormen ze allemaal een potentieel risico voor de veiligheid van zorgorganisaties en patiënten, met name in situaties waar aanvallers gemotiveerd zijn om extra moeite te doen voor het aanvallen van een doelwit", aldus de onderzoekers.

Image

Reacties (12)
03-03-2022, 11:30 door Struckto - Bijgewerkt: 03-03-2022, 11:37
Hier zou de Nederlandse overheid nou zwaar goeie beveiliging experts op moeten zetten.

Ik ben wel nieuwschier hoe makkelijk het is een email te kraken van een arts voor een verrandering in in het medisch dossier door te voeren hoe gemakkelijk dat gaat.
03-03-2022, 12:09 door Anoniem
Ik maak hieruit op dat de pompen geen dedicated verbinding hebben. Een ongedeelde verbinding is namelijk voor kwetsbare voorzieningen - kritische infrastructuur - een logisch begin voor veilige ziekenhuizen.
03-03-2022, 14:15 door Anoniem
Door Struckto: Hier zou de Nederlandse overheid nou zwaar goeie beveiliging experts op moeten zetten.

Ik ben wel nieuwschier hoe makkelijk het is een email te kraken van een arts voor een verrandering in in het medisch dossier door te voeren hoe gemakkelijk dat gaat.

Struckto, dit is geen taak van de overheid, dat moeten instellingen zelf doen. Overheidsregels werken eerder belemmerend dan ondersteunend.
Verder zou het bevorderlijk zijn voor het begrijpen van commentaar, wanneer je er op toeziet, dat je correct Nederlands gebruikt. Nu moet ik hopen, dat je met beveiliging experts beveiligingsexperts bedoeld, dat nieuwschier vervangen moet worden door nieuwsgierig en dat je bij verrandering een typo hebt gemaakt en verandering bedoelt. Mocht ik het fout hebben, graag nog een keer in correcte bewoordingen posten a.u.b. Overigens, mocht je dyslectisch zijn o.i.d., type het dan eerst in een tekstverwerker, draai een spellingchecker en copy- -past het dan hier.
03-03-2022, 14:36 door Anoniem
Door Anoniem: Ik maak hieruit op dat de pompen geen dedicated verbinding hebben. Een ongedeelde verbinding is namelijk voor kwetsbare voorzieningen - kritische infrastructuur - een logisch begin voor veilige ziekenhuizen.

Waarom maak je dat op ?

Ze hebben gewoon zitten testen tegen een stel infuuspompen, omdat dat veel lekkerder opgepakt wordt als Groot Probleem dan een chinese webcam.
Feit is gewoon dat al dat soort embedded spul helemaal niet geschikt is om direct aan een vijandige omgeving te hangen .

Ik maak niet meteen op _dat_ die dingen in een ziekenhuis meteen aan het "gasten wifi voor bezoekers en patienten" netwerk hangen .
03-03-2022, 15:51 door Struckto - Bijgewerkt: 03-03-2022, 16:01
Verder zou het bevorderlijk zijn voor het begrijpen van commentaar, wanneer je er op toeziet, dat je correct Nederlands gebruikt. Nu moet ik hopen, dat je met beveiliging experts beveiligingsexperts bedoeld, dat nieuwschier vervangen moet worden door nieuwsgierig en dat je bij verrandering een typo hebt gemaakt en verandering bedoelt. Mocht ik het fout hebben, graag nog een keer in correcte bewoordingen posten a.u.b. Overigens, mocht je dyslectisch zijn o.i.d., type het dan eerst in een tekstverwerker, draai een spellingchecker en copy- -past het dan hier.

Ja ik heb dislectie en ben gestopt met school vandaar mijn slechte nl al eerder aan geven in een andere topic.Het is dat je geen code mag pasten want dat versta ik vloeiend zoals c of perl html javascript assembly. Nu we toch bezig zijn ben ik wel nieuwschieig na nokia en de esp chips. Als ze dit uit voeren in de hardware is xor eax,eax niet meer mogelijk.
03-03-2022, 15:56 door Anoniem
Zo zie je maar weer Microsoft moet je daar niet gebruiken, levens gevaarlijk.

O wacht even.....
03-03-2022, 16:32 door Anoniem
Door Anoniem:
Door Anoniem: Ik maak hieruit op dat de pompen geen dedicated verbinding hebben. Een ongedeelde verbinding is namelijk voor kwetsbare voorzieningen - kritische infrastructuur - een logisch begin voor veilige ziekenhuizen.

Waarom maak je dat op ?

Ze hebben gewoon zitten testen tegen een stel infuuspompen, omdat dat veel lekkerder opgepakt wordt als Groot Probleem dan een chinese webcam.
Feit is gewoon dat al dat soort embedded spul helemaal niet geschikt is om direct aan een vijandige omgeving te hangen .

Ik maak niet meteen op _dat_ die dingen in een ziekenhuis meteen aan het "gasten wifi voor bezoekers en patienten" netwerk hangen .
Jep en zie daar het gevaar van als men niet snapt wat er werkelijk gezegd wordt in rapportages.

Men ziet 9,8 van 10 dus dat moet wel goed mis zijn.
Kijk je verder naar de vector strings voorbeeld die van STACK-BASED BUFFER OVERFLOW CWE-121 en ziet dat er netwerk verbinding nodig is voor exploiting en bedenkt dat het geen apparaten zijn die ingeplugd zitten op het internet en het zeer onwaarschijnlijk is dat een aanvaller fysiek op de locatie komt en zowaard daalt het risico ineens van 9.8 naar een 6.1

Dan vervolgens bekijk je de mitigation die al beschikbaar is en dat er patches zijn en je kunt de temporal score aanpassen met Official fix (O) En er is geen Proof of Concept opgenomen in de report dus die moet op unknown en de temporal daalt ook naar een 5.1

Zou je dit dan bespreken met je Security consultant dan kom je al gauw op een Accepted Risk (AR) schatting en inplannen voor patch tijdens regulier onderhoud van de hardware om later tot een Resolved status te komen bij een herscan waar waarschijnlijk dan al weer tig andere lekken gevonden zijn.

Of denkt enig iemand hier echt dat men bij het zien van dit rapport ala minuut alle infuuspompen beschikbaar stelt voor nood patching op een centrale werkplaats? Zou een leuke afdeling overleg worden ik zie de gezichten nu al voor me.


Ik maak me pas zorgen als op mijn bureau geen boekwerk aan security risks ligt voor audit omdat ik dan zeker weet dat de analisten dan hun werk niet goed gedaan hebben en we te maken hebben met verhoogd risico op unknowns.
03-03-2022, 21:24 door Anoniem
De meeste infuuspompen zitten op Wifi, en daar gaan diverse van de vulnerabiliteiten over.
05-03-2022, 11:26 door Anoniem
Er wordt blijkbaar closed source gebruikt maar die updates van VxWorks zijn toch gratis? Wat gaat er hier mis?
05-03-2022, 12:05 door Anoniem
Het interesseert leveranciers helemaal niets. Heel veel medische systemen zijn zo lek als een mandje. Klagen helpt niet, je krijgt antwoord het is wat het is. Veel producten zijn ook door een stel amateur developers gemaakt. Wij zitten software met totaal lekke Java versie die al jaren eol is. Leveranciers laat upgraden niet toe. De poging om het toch te doen liet software gewoon niet meer starten. En toch hebben ze een fda en ce keurmerk.

Een goede patch en lifecycle moet gewoon verplicht worden aan leveranciers. Die keurmerken zijn totaal wassen neus.
07-03-2022, 09:15 door Struckto - Bijgewerkt: 07-03-2022, 09:17
Het interesseert leveranciers helemaal niets. Heel veel medische systemen zijn zo lek als een mandje. Klagen helpt niet, je krijgt antwoord het is wat het is. Veel producten zijn ook door een stel amateur developers gemaakt. Wij zitten software met totaal lekke Java versie die al jaren eol is. Leveranciers laat upgraden niet toe. De poging om het toch te doen liet software gewoon niet meer starten. En toch hebben ze een fda en ce keurmerk.

Een goede patch en lifecycle moet gewoon verplicht worden aan leveranciers. Die keurmerken zijn totaal wassen neus

Technisch is het dus mogelijk een bloed groep te verranderen van patienten en kan je hieruit op maken dat zieken huis instelligen een directe bedreiging zijn voor cyber aanvallen en internationaal terrorisme. Dit valt meer onder de mivd lijkt mij want het kabinet laat hier wel een enorme steek liggen.
07-03-2022, 10:38 door Struckto - Bijgewerkt: 07-03-2022, 11:05
Door Struckto:
Het interesseert leveranciers helemaal niets. Heel veel medische systemen zijn zo lek als een mandje. Klagen helpt niet, je krijgt antwoord het is wat het is. Veel producten zijn ook door een stel amateur developers gemaakt. Wij zitten software met totaal lekke Java versie die al jaren eol is. Leveranciers laat upgraden niet toe. De poging om het toch te doen liet software gewoon niet meer starten. En toch hebben ze een fda en ce keurmerk.

Een goede patch en lifecycle moet gewoon verplicht worden aan leveranciers. Die keurmerken zijn totaal wassen neus

Technisch is het dus mogelijk een bloed groep te verranderen van patienten en kan je hieruit op maken dat zieken huis instelligen een directe bedreiging zijn voor cyber aanvallen en internationaal terrorisme. Dit valt meer onder de mivd lijkt mij want het kabinet laat hier wel een enorme steek liggen.

Wat ik wil weten als patienten zoals mijn vader die suiker ziekte hebben of het infuus ook gekoppeld is aan het wifi netwerk en zo slecht is. Dan maak ik mij ernstige zorgen over zijn medische behandeling. Ik vraag me af wat die zusters daar doen in die ziekenhuizen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.