Beademingsapparaat Life2000 via kritieke kwetsbaarheden te saboteren
Kritieke kwetsbaarheden in het Life2000 Ventilation System van fabrikant Baxter, een 'non invasief' draagbaar apparaat dat patiënten helpt met ademen, maakt het mogelijk voor aanvallers om het systeem ongemerkt te saboteren. Baxter heeft nog geen beveiligingsupdates beschikbaar en adviseert patiënten om het apparaat in openbare of onbeveiligde plekken niet onbeheerd achter te laten. Het beademingsapparaat wordt onder andere gebruikt voor patiënten met COPD of die zich voorbereiden of herstellen van een longtransplantatie.
Het apparaat heeft in totaal met negen beveiligingslekken te maken, waarvan twee met een impactscore van 10 op een schaal van 10, alsmede drie met een 9.4 score. Het gaat onder andere om het gebruik van harcoded credentials, onvoldoende logging, ontbrekende authenticatie voor belangrijke functies, het niet controleren van de integriteit van firmware-updates, het standaard ingeschakeld staan van de debugging poort, het ontbreken van bescherming tegen bruteforce-aanvallen en het onversleuteld versturen van gevoelige informatie.
"Succesvol misbruik van deze kwetsbaarheden kan leiden tot het verkrijgen van informatie en/of het verstoren van de werking van het apparaat, zonder dat dit wordt gedetecteerd", aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Baxter geeft aan in het tweede kwartaal van volgend jaar met meer informatie te komen.
Lekker op tijd ook....
Ja, alsof dat niet uberhaupt een goed idee is voor je levensnoodzakelijke apparaat, ook als de software-security -wel- perfect was.
Het ding kan ook gewoon gejat worden, een kutkleuter die 'm vol propt met cola en een happy meal, en als je - net als de IT-veiligheid- blijkbaar denkt aan actieve targeted attacks van iemand die voorbereid komt om firmware te vernaggelen, is er een hoop meer maliciousness te verzinenn (insecticide ? )
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
