Hakerzy mogą zaatakować pompy infuzyjne

Eksperci informują o błędach znalezionych w pompach infuzyjnych. Mogą one zostać zdalnie wykorzystane przez cyberprzestępców do wyrządzenia krzywdy pacjentom. Wchodzący w skład amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego Industrial Control Systems Cyber Emergency Response Team (DHS ICS-CERT) informuje o ośmiu lukach znalezionych w urządzeniu Medfusion 4000 firmy Smiths Medical.

Pompy infuzyjne to urządzenia przeznaczone do cyklicznego lub ciągłego podawania leku. Najczęściej są wykorzystywane na oddziałach intensywnej opieki medycznej czy salach operacyjnych. Teraz okazuje się, że można je zdalnie zaatakować.
ICS-CERT ostrzega o dziurach znalezionych przez niezależnego badacza Scotta Gayou, który wykorzystał błędy do ustanowienia bezprzewodowego połączenia z pompą i manipulowania jej poszczególnymi modułami. Udany atak może pozwolić na uzyskanie nieautoryzowanego dostępu oraz wpłynięcie na pracę urządzenia. Pomimo tego, że pompa ma budowę modułową napastnik może złamać zabezpieczenia modułu komunikacyjnego i terapeutycznego pompy, czytamy w ostrzeżeniu. Wpływ ataku na poszczególne organizacje zależy od wielu czynników i jest unikatowy dla każdej z organizacji będącej właścicielem pompy. ICS-CERT zaleca sprawdzenie wpływu ewentualnego ataku na prace organizacji i sposób używania przez nią pompy.

Firma Smiths Medical oświadczyła, że opisany przez Gayou atak jest mało możliwy do wykonania. Firma nie zamierza publikować poprawek do czasu wypuszczenia kolejnej wersji swojej pompy. Ta ma zadebiutować na rynku w połowie stycznia przyszłego roku.

pompa infuzyjna atak dziura luka