Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) отзывает 465 000 кардиостимуляторов. Проблема этих кардиостимуляторов состоит в том, что злоумышленники могут получить несанкционированный доступ и отдавать команды, изменять настройки и злонамеренно нарушать работу. В списке на отзыв четыре модели, разработанные Abbott Laboratories.

По данным FDA, отзыв кардиостимуляторов связан с исследованием MedSec Holdings, которое около года назад выявило уязвимости в оборудовании, производимом компанией St. Jude Medical. Abbott Laboratories приобрела St. Jude Medical в январе этого года.

«Abbott выпустила обновление прошивки, которое помогает бороться с уязвимостями, выявленными в кардиостимуляторах с подключением по радиоканалу. Независимый эксперт по безопасности подтвердил, что новая версия прошивки действительно борется с выявленными уязвимостями,» — говорится в сообщении FDA.

«Этот инцидент служит напоминанием о том, что программное обеспечение стало неотъемлемой частью почти всех аспектов нашей жизни», — сказал Майк Питтенгер, директор по стратегической безопасности компании Black Duck. «По мере устаревания ПО в нем находят все больше уязвимостей. Нет никаких причин, по которым программное обеспечение в кардиостимуляторе или в инфузионном насосе для лекарств было бы исключением из этого правила».

Команда Industrial Control Cyber ​​Emergency Response Team (ICS-CERT) в США в своих рекомендациях упоминает три уязвимости в кардиостимуляторах Abbott Laboratories, изготовленных до августа 2017 года. Список уязвимых моделей включает Accent/Anthem, Accent MRI, Assurance/Allure и Assurance MRI.

Самая опасная из трех уязвимостей (CVE-2017-12712) связана с алгоритмом аутентификации в кардиостимуляторе: ключ аутентификации и метка времени могут быть скомпрометированы или обойдены. Это позволяет злоумышленнику отдавать кардиостимулятору несанкционированные команды через радиоканал.

Еще одна ошибка (CVE-2017-12714) может значительно сократить время работы аккумулятора кардиостимулятора. «Кардиостимуляторы не ограничивают количество правильно отформатированных команд «RF-wake up», которые могут быть получены, что позволяет злоумышленнику повторно отправлять команды и тем самым добиться сокращения времени автономной работы кардиостимулятора,» — говорится в рекомендациях ICS-CERT.

Третий изъян (CVE-2017-12716), обнаруженный в кардиостимуляторах Accent и Anthem, состоит в том, что при общении с программаторами и домашними системами мониторинга эти модели передают через радиоканал незашифрованную информацию о пациенте. Кроме того, оба кардиостимулятора хранят данные пациента в незашифрованном виде в собственной памяти, что тоже нехорошо.

Это уже второй раз, когда компания Abbott Laboratories вынуждена обновить сердечные имплантаты. Предыдущее обновление произошло в октябре прошлого года. Тогда правительство США исследовало потенциально опасные для жизни уязвимости, которые могли преждевременно опустошать батареи кардиостимуляторов, в результате St. Jude отозвала нескольких имплантированных сердечных устройств. По данным Reuters, преждевременная разрядка батарей привела к двум смертям в Европе.

Для борьбы с уязвимостью необходимо, чтобы пациенты посетили своего врача и получили обновление через беспроводное подключение с небольшим радиусом действия. Abbott предупреждает, что к обновлению прошивки следует подходить с осторожностью. «Как и любое обновление программного обеспечения, обновление прошивки может привести к сбоям в работе устройств», — говорится в заявлении. Испорченное обновление может привести к потере настроек или даже полному выходу устройства из строя.

В апреле FDA направило Abbott Laboratories письмо с предупреждением о том, что компания недостаточно тщательно подошла к обеспечению безопасности в Merlin@home. Merlin@home — это радиочастотный передатчик, разработанный St. Jude Medical для домашнего мониторинга пациентов с имплантированными дефибрилляторами.

Уязвимости в передатчике Merlin и в других устройствах, которые продают St. Jude Medical и Abbott Laboratories, были в центре внимания в отчете, опубликованном в августе прошлого года хедж-фондом Muddy Waters и MedSec Holdings. На момент публикации этого отчета Muddy Waters держал короткую позицию на акции St. Jude Medical, что позволяло хедж-фонду и MedSec получить прибыль в случае падения стоимости акций St. Jude.

«Во время следующего регулярного посещения пациентам следует обсудить с их поставщиками медицинских услуг риски уязвимостей и преимущества соответствующего обновления прошивки», — говорится в тексте, которым FDA сопроводило отзыв оборудования. В ходе этого обсуждения важно определить, подходит ли обновление, учитывая риск для пациента в том случае, если в процессе обновления что-то пойдет не так — добавляет ICS-CERT.

Категории: Главное, Уязвимости, Хакеры