image

Beademingsapparaat Life2000 via kritieke kwetsbaarheden te saboteren

vrijdag 15 november 2024, 11:04 door Redactie, 8 reacties

Kritieke kwetsbaarheden in het Life2000 Ventilation System van fabrikant Baxter, een 'non invasief' draagbaar apparaat dat patiënten helpt met ademen, maakt het mogelijk voor aanvallers om het systeem ongemerkt te saboteren. Baxter heeft nog geen beveiligingsupdates beschikbaar en adviseert patiënten om het apparaat in openbare of onbeveiligde plekken niet onbeheerd achter te laten. Het beademingsapparaat wordt onder andere gebruikt voor patiënten met COPD of die zich voorbereiden of herstellen van een longtransplantatie.

Het apparaat heeft in totaal met negen beveiligingslekken te maken, waarvan twee met een impactscore van 10 op een schaal van 10, alsmede drie met een 9.4 score. Het gaat onder andere om het gebruik van harcoded credentials, onvoldoende logging, ontbrekende authenticatie voor belangrijke functies, het niet controleren van de integriteit van firmware-updates, het standaard ingeschakeld staan van de debugging poort, het ontbreken van bescherming tegen bruteforce-aanvallen en het onversleuteld versturen van gevoelige informatie.

"Succesvol misbruik van deze kwetsbaarheden kan leiden tot het verkrijgen van informatie en/of het verstoren van de werking van het apparaat, zonder dat dit wordt gedetecteerd", aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Baxter geeft aan in het tweede kwartaal van volgend jaar met meer informatie te komen.

Reacties (8)
15-11-2024, 11:12 door Anoniem
Tweede kwartaal van volgend jaar

Lekker op tijd ook....
15-11-2024, 11:55 door Anoniem
Klink als weer een 'researcher' die lieve de megafoon van "MEDISCH APPARAAT ONVEILIG" scoort dan "mweh, soho nas onveilig" .

adviseert patiënten om het apparaat in openbare of onbeveiligde plekken niet onbeheerd achter te laten.

Ja, alsof dat niet uberhaupt een goed idee is voor je levensnoodzakelijke apparaat, ook als de software-security -wel- perfect was.

Het ding kan ook gewoon gejat worden, een kutkleuter die 'm vol propt met cola en een happy meal, en als je - net als de IT-veiligheid- blijkbaar denkt aan actieve targeted attacks van iemand die voorbereid komt om firmware te vernaggelen, is er een hoop meer maliciousness te verzinenn (insecticide ? )
15-11-2024, 13:10 door Bitje-scheef
Tekenen bij het X.
16-11-2024, 08:09 door Anoniem
Adembenemend slecht.
Tijd voor een keurmerk! Of een certificering!
Alleen barebone images en pentesten voordat het in productie gaat
16-11-2024, 12:15 door Anoniem
Een gesloten besturingssysteem met harcoded credentials. Van de markt halen zoiets.
16-11-2024, 14:04 door Briolet
adviseert patiënten om het apparaat in openbare of onbeveiligde plekken niet onbeheerd achter te laten.

Dat advies suggereert dat een aanvaller fysieke toegang tot het apparaat nodig heeft. Maar dan ken ik nog wel meer onveilige medische apparatuur. Bij veel infuuspompjes kun je ook gewoon de dosering tot gevaarlijke waardes verhogen door aan een knopje te draaien.
16-11-2024, 15:47 door Anoniem
Het kan maar is er ook misbruik gemaakt van de kwetsbaarheden?
Ik denk het niet.
18-11-2024, 12:44 door Anoniem
Door Anoniem: Een gesloten besturingssysteem met harcoded credentials. Van de markt halen zoiets.

En daarmee mensen levens op het spel zetten?
Nogal kortzichtig. En waarom zou je, het apparaat heb je continu bij je (je leven hangt er van af), wat voor attack surface hebben aanvallers dan om een kwetsbaarheid daadwerkelijk te misbruiken?
Misschien even goed de CVE zelf lezen, dan zie je dat de kwetsbaarheden zich voordoen via/op de fysieke aansluitingen op het apparaat.

Maak daar eerst eens een risicoafweging, voordat je tot conclusies springt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.