Yönetim ve Risk Yönetimi, Sağlık, Sektöre Özel
Araştırmacılar, Üretici Proges Plus’ın Güvenlik Açığı Bulgularına Yanıt Vermediğini Söyledi
Prajeet Nair (@prajeetspeaks) •
27 Haziran 2024
Çoğunlukla hastanelerde kullanılan internet bağlantılı sıcaklık izleme cihazlarındaki ve bunlara eşlik eden masaüstü uygulamalarındaki güvenlik açıkları, bilgisayar korsanlarının teknolojide yönetici ayrıcalıkları elde etmesine olanak tanıyabilir.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Nozomi Networks araştırmacıları, Fransız firması Proges Plus’ın bir bölümü tarafından geliştirilen Sensor Net Connect’te dört, Thermoscan IP masaüstü uygulamasında ise üç güvenlik açığı tespit etti.
Sistem, hastane gibi sıcaklığın tam ve sabit kalması gereken ortamlar için tasarlanmıştır. CVE-2024-31202 olarak takip edilen bir kusur, Thermoscan IP uygulamasına temel erişimi olan bir kullanıcının yeni hesaplar oluşturmasına ve bu hesaplara yönetici düzeyinde ayrıcalıklar atamasına olanak tanıyor. Perşembe günkü bir blog yazısında Nozomi, masaüstü uygulamasına halihazırda temel erişime sahip olabilecek bir kullanıcının gerçek dünyadaki bir örneğinin bakım yüklenicileri ve üçüncü taraf uygulamalarını içerdiğini söyledi.
Araştırmacılar, saldırganların erişimlerini hassas verileri sızdırmak veya sıcaklık izleme bütünlüğünü tehlikeye atmak için kullanabileceğini öne sürüyor. Amerika Birleşik Devletleri’nde yetkililer, üreticilerin ürünlerini geliştirme veya satış sonrası güvenlik testlerine tabi tutmama eğilimi göz önüne alındığında, tıbbi cihazların bilgisayar korsanları için potansiyel bir yol olduğu konusunda uzun süredir uyarıda bulunuyor.
Cihazlarda güvenlik açıkları keşfedilirse, özellikle tam zamanlı siber güvenlik desteği olmayan daha küçük tıbbi uygulamalarda kullanılıyorsa, çoğu cihaza yama yapılmadan kalır. FBI’ın 2022 yılında yaptığı bir uyarı, tıbbi cihazların ortalama 6,2 güvenlik açığı taşıdığını ve hastanelerdeki ağa bağlı cihazların yarısından fazlasının bilinen kritik kusurlara sahip olduğunu gösteren bir araştırma bulgusuna atıfta bulundu.
2023’te yürürlüğe giren bir ABD yasası, üreticilerin federal onay için yeni cihazlar sunarken gelişmiş siber güvenlik gerekliliklerine uymasını gerektiriyor. Bu gereklilik, cihazın güncellenebilir ve yamalanabilir olduğunu göstermek ve güvenlik kontrollerinin ve test rejiminin etkinliğini kanıtlamak anlamına geliyor (bkz: Özel: FDA Lideri Yeni Tıbbi Cihaz Yasasının Etkisi Konusunda).
Nozomi, ABD CERT Koordinasyon Merkezi aracılığıyla doğrudan ve dolaylı olarak Proges Plus ile birçok kez iletişime geçmeye çalıştığını ancak yanıt alamadığını söyledi. Bilgi Güvenliği Medya Grubu şirketten yorum talep etti.
Satıcının yama yayınlaması veya hafifletme tavsiyesi gibi doğrudan iyileştirmelerin eksikliği göz önüne alındığında, Nozomi, normal istemcilerin web yapılandırma arayüzüne erişmesini engelleyerek sıcaklık izleme altyapısının ayrılmasını öneriyor. Firma ayrıca şüpheli veya kötü amaçlı etkinlik belirtileri aramak için günlüklerin ve hesap etkinliğinin düzenli olarak izlenmesini öneriyor.