Geçen hafta, ABD Gıda ve İlaç İdaresi (FDA) ile birlikte Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bir uyarı yükseltti CONTEC CMS8000 ve EPSIMED MN-120 sağlık monitörleri için, cihazlara gömülü kötü niyetli, gizli bir arka kapı nedeniyle hastaları internete bağlı bir kez riske atıyorlar. Ancak güvenlik araştırmacıları, sorunun aslında kasıtlı kötü amaçlı yazılım olmadığını, daha ziyade sadece güvensiz bir tasarım olduğunu söylüyor.
Cihazlar, kalp atış hızı, kan oksijen doygunluğu, sıcaklık, solunum hızı ve daha fazlası gibi hastanın hayati belirtilerini sürekli olarak izler. Cisa ve FDA Bildirilen bulgular “Arka kapı” sayesinde dişlideki üç siber güvenlik riski için: yetkisiz bir kullanıcı bir monitörü uzaktan kontrol edebilir ve istenmeyen bir şekilde çalışmasına neden olabilir; Saldırganlar cihazı tehlikeye atabilir ve bir ağa dönebilir; Ve bir saldırgan, monitörün topladığı verileri ortadan kaldırabilir.
Hasta sağlığı perspektifinden bakıldığında, bir saldırgan monitörün hastalar verdiği bilgileri manipüle edebilseydi, bu da yanlış bir şey olduğunu fark etmelerini engelleyebilir. Bulgularla ilgili bilinen siber güvenlik olayları, ölümler veya yaralanmalar bildirmiş olsalar da, FDA hala hastalar ve bakıcılar için önerilerde bulundu: sağlık hizmeti sağlayıcılarına hasta izleme cihazlarını değerlendirme ve internet bağlantısına dayanıyorsa belirli adımları takip etme konusunda konuşma.
FDA ayrıca sağlık hizmeti sağlayıcılarına, alışılmadık bir şekilde çalışıp çalışmadıklarını belirlemek için hastalarının CONTEC CMS8000 veya EPSimed MN-120 hasta monitörlerini kontrol etmeleri konusunda görevlendirdi.
Hasta Monitörü Siber Hata: Kötü niyetli değil, sadece sorunlu
Uyarıları öğrendikten sonra Claroty’nin Team82, ürün yazılımını araştırdı ve CISA ve FDA’dan farklı bir sonuca ulaştı: Muhtemelen bu cihazları hastalar ve tıbbi bilgileri için bir sorumluluk haline getiren gizli bir arka kapı değil, daha ziyade a oluşturan güvensiz bir tasarım Tehdit aktörleri tarafından istismar için açık olan güvenlik açığı.
Araştırmacılar, satıcıların ve monitörü kamuya açık olarak yeniden etiketlemek ve satmak isteyen satıcıların, Talimat Kılavuzlarındaki IP adresini listelediğine dikkat çekti.
” Constec operatör kılavuzu Özellikle kuruluşların kullanması gereken Merkezi Yönetim Sistemi (CMS) IP adresi olarak bu ‘sert kodlanmış’ IP adresinden bahsediyor, bu nedenle CISA tarafından belirtildiği gibi işlevsel olarak gizli değil, ” Team82 araştırmacıları yazdı. Diyerek şöyle devam etti: “Bu nüans önemlidir, çünkü kötü niyetli niyet eksikliği gösterir ve bu nedenle iyileştirme faaliyetlerinin önceliklendirilmesini değiştirir.”
Güvenlik açığı hala gerçek dünyadaki sonuçlar doğuruyor, ancak bir Team82 araştırmacısı Noam Moshe, bir tehdit oyuncunun önce cihazın mimarisi ve protokolleri hakkında bilgi gerektireceğini belirtiyor.
Moshe, “Kod yürütme kazanmak için önce cihazın sistem yükseltme sürecine konması gerekiyor” diyor. “Araştırmamızdan bu, cihaza fiziksel erişim gerektirir.”
Bundan sonra, IP adresinin sert kodlanmış doğası daha kolay sömürü için kapıyı açar.
Moshe, “Bu güvenlik açığından yararlanmak için, bir saldırganın, sabit kodlanmış genel IP adresinde kötü niyetli ikili cihazlara sahip cihazlara hizmet vermesi ve cihazda kod yürütme yapması gerekir.” Diyor. “HL7 protokolünü kullanarak, sabit kodlu IP adresine kişisel olarak tanımlanabilir bilgiler (PII) veya kişisel sağlık bilgileri (PHI) göndermeye çalışan cihaz durumunda, cihazın belirli bir özelliği etkinleştirilirse bu ortaya çıkabilir.”
Sağlık Cihazları: Tehdidi İzleme
Belki de bu özel güvenlik açığının sömürülmesi olası görünmüyor, ancak tıbbi cihazlar yıllardır siber tartışmanın bir noktası olmuştur.
Örneğin, 2011’de geri dönen Jay Radclife insülin pompaları Giydiği gibi, “eğlence ve insülin için tıbbi cihazları kesmek: insan SCADA sistemini kırma” başlıklı bir sunumda hacklenebilir.
Ve sağlık kurumları tarafından tahrip edildiğinden Fidye Yazılımı Saldırıları Kaynaklarını tehlikeye atan ve hastanın yaşamlarını riske atan birçok tıbbi cihaz, siber güvenlik korkuluklarını destekleme konusunda hala yakalanmadı. Özellikle, birçoğu yıllardır güncellenmemiş eski yazılımlar ve saldırganlar için bol miktarda delik sunuyor.
Ancak, FDA gibi ajanslar Şirketleri adımlar atmaya itmek2023 yılında olduğu gibi, son siber güvenlik düzenlemesine uymayan tıbbi cihazları reddetmeye başladığında.
Ancak hala uzun bir yol var: 2024’te araştırmacılar sağlık hizmetlerini ve Tıbbi Şeylerin İnterneti (IOMT) En riskli cihaz sektörü olarak, konuşlandırılan riskli cihaz sayısında genel olarak en büyük düşüşe sahipti.
Hasta Monitörü’ne gelince, Team82 araştırmacıları, sağlık kuruluşlarının hastaları korumak için adımlar atmasını, bu tür alt ağa tüm erişimi dahili ağlarından engellemelerini ve ürün yazılımını bir WAN sunucusundan yükseltmeye veya potansiyel olarak PII göndermeye çalışan cihazları engellemelerini önerir.
“Hastaneler güvenlik açığı algılama ve yama işlemleri uygulamalıdır,” diyor Moshe, “en güvenli ağ düzenini sağlayacak yüksek kaliteli pasif görünürlükten kaynaklanan ağ segmentasyonunun yanı sıra.”