ИБ-эксперты CyberMDX, которые специализируются на решениях для медицинской отрасли, сообщили о двух серьезных уязвимостях в оборудовании Qualcomm и Alaris. Бреши позволяют вмешиваться в работу больничных приборов и удаленно менять их настройки.

В случае Qualcomm проблема обнаружилась в шлюзе Qualcomm Life Capsule Datacaptor Terminal Server (DTS). Он обеспечивает коммуникацию между различными лечебно-диагностическими устройствами, включая аппараты искусственной вентиляции легких, прикроватные мониторы и электронные капельницы. Как выяснили эксперты, веб-интерфейс DTS подвержен уязвимости Misfortune Cookie, которая открывает несанкционированный доступ к сетевым устройствам с возможностью менять их настройки.

В 2014 году специалисты Check Point обнаружили Misfortune Cookie в миллионах домашних роутеров от ведущих мировых производителей. Уязвимость позволяет злоумышленнику нарушить работу сетевого устройства с помощью одного-единственного вредоносного пакета данных. В Qualcomm DTS эта брешь может привести к проблемам со всеми подключенными к шлюзу приборами, как следствие — риску для здоровья и жизни пациентов.

Уязвимость получила 9,8 баллов по шкале CVSS, что соответствует максимальной угрозе. На оценку повлиял тот факт, что воспользоваться дырой можно удаленно и без особых технических навыков. Эксперты заранее сообщили о проблеме Qualcomm, что позволило компании обновить прошивку DTS еще до обнародования информации.

Отмечается, что из-за технических ограничений отдельные версии шлюза по-прежнему остаются уязвимыми. В этих случаях производитель рекомендует отключить встроенный интерфейс, подчеркивая, что он требуется только для первоначальной настройки и не влияет на регулярную работу системы.

Вторая уязвимость, о которой сообщили эксперты, содержится в инфузионных насосах Alaris. Эти устройства используются для дозированного введения пациентам лекарственных и питательных веществ. Брешь, получившая идентификатор CVE-2018-14786, позволяет злоумышленникам менять интенсивность впрыскивания, запускать и останавливать прибор, если он подключен к терминальному серверу через последовательный порт.

Производитель указал, что подобные соединения сами по себе давно признаны небезопасными — все медицинские устройства должны размещаться в изолированных сегментах сети. Кроме того, лечебным учреждениям следует использовать специализированные шлюзы, которые блокируют попытки удаленного доступа к приборам. На момент публикации неизвестно, планирует ли компания устранять уязвимость на программном уровне.

Категории: Уязвимости