Уязвимость в инфузионных помпах позволяет ввести смертельную дозу лекарства

Хакер Билли Райос (Billy Rios) продолжает изучать безопасность медицинского оборудования производства американской компании Hospira. В частности, систему управления инфузионными помпами этой фирмы, 400 000 которых установлено в больницах по всему миру.

Ещё в мае 2014 года Райос сообщил в Министерство внутренней безопасности США и Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) о ряде уязвимостей в системе управления инфузионной помпой PCA 3 Lifecare производства Hospira. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств.

Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча.

В апреле 2015 года другой независимый исследователь огласил некоторые из этих уязвимостей на широкую публику, после чего поднялся небольшой переполох. Даже FDA обратила внимание и выпустила предупреждение.

Билли Райос сообщил компании Hospira, что уязвимости могут присутствовать и в других моделях инфузионных помп, а не только в PCA 3 Lifecare, поскольку у них схожие прошивки и программное обеспечение. Но компания не выразила желание проводить исследование. Хакер потратил год, закупив оборудование за собственные средства, и проведя подробный аудит.

Выяснилось, что многие модели помп Hospira используют абсолютно такое же ПО, так что подвержены тем же самым уязвимостям.

Баги подтверждены для следующих моделей:

• PCA 3 Lifecare
• PCA 5 Lifecare
• Plum A+
• PCA Lifecare
• Symbiq

Скорее всего, уязвимы и другие модели, хотя это ещё не подтверждено:

• Plum A+
• Plum 360
• Sapphire
• Sapphire Plus

Коммуникационный модуль Plum A+

Среди уязвимостей — возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу telnet коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей).

Райос подробно разобрался, какие возможности открывает эксплуатация упомянутых уязвимостей. Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через интернет, если злоумышленнику удастся войти в больничную локальную сеть.

На практике Билли Райос продемонстрирует атаку на конференции по безопасности SummerCon, которая состоится в июле 2015 года в Нью-Йорке.

Хакер Билли Райос (Billy Rios) продолжает изучать безопасность медицинского оборудования производства американской компании Hospira. В частности, систему управления инфузионными помпами этой фирмы, 400 000 которых установлено в больницах по всему миру.

Ещё в мае 2014 года Райос сообщил в Министерство внутренней безопасности США и Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) о ряде уязвимостей в системе управления инфузионной помпой PCA 3 Lifecare производства Hospira. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств.

Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча.

В апреле 2015 года другой независимый исследователь огласил некоторые из этих уязвимостей на широкую публику, после чего поднялся небольшой переполох. Даже FDA обратила внимание и выпустила предупреждение.

Билли Райос сообщил компании Hospira, что уязвимости могут присутствовать и в других моделях инфузионных помп, а не только в PCA 3 Lifecare, поскольку у них схожие прошивки и программное обеспечение. Но компания не выразила желание проводить исследование. Хакер потратил год, закупив оборудование за собственные средства, и проведя подробный аудит.

Выяснилось, что многие модели помп Hospira используют абсолютно такое же ПО, так что подвержены тем же самым уязвимостям.

Баги подтверждены для следующих моделей:

• PCA 3 Lifecare
• PCA 5 Lifecare
• Plum A+
• PCA Lifecare
• Symbiq

Скорее всего, уязвимы и другие модели, хотя это ещё не подтверждено:

• Plum A+
• Plum 360
• Sapphire
• Sapphire Plus

Коммуникационный модуль Plum A+

Среди уязвимостей — возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу telnet коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей).

Райос подробно разобрался, какие возможности открывает эксплуатация упомянутых уязвимостей. Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через интернет, если злоумышленнику удастся войти в больничную локальную сеть.

На практике Билли Райос продемонстрирует атаку на конференции по безопасности SummerCon, которая состоится в июле 2015 года в Нью-Йорке.