Компания Medtronic, крупнейший производитель медицинского оборудования, отзывает две серии управляемых дозаторов инсулина. Уязвимость беспроводного подключения позволяет злоумышленнику вмешаться в работу прибора и спровоцировать ситуацию, угрожающую жизни пациента.

Инсулиновые помпы Medtronic — это персональные медицинские устройства, которые автоматически делают инъекции лекарственного средства диабетикам в соответствии с установленными настройками. Все, что требуется от пациента — самостоятельно контролировать уровень сахара в крови и выставлять необходимую дозировку.

Как пояснили эксперты американского Управления по надзору за продуктами и медикаментами (Food and Drug Administration, FDA), устройства Medtronic MiniMed 508 и MiniMed Paradigm можно использовать, чтобы вызвать у диабетиков состояние гипогликемии или кетоацидоза. Первый вариант грозит пациенту, если взломщик установит слишком высокую подачу инсулина в кровь. Второй случай, напротив, связан с недостатком вещества, что приводит к накоплению токсичных метаболитов в организме. Обе ситуации могут привести к коме или смерти пациента.

Специалисты отмечают, что атака возможна лишь в непосредственной близости от уязвимого устройства. Злоумышленнику понадобится перехватить радиосоединение, по которому помпа подключается к сторонним устройствам — глюкометрам или средствам мониторинга и удаленного управления. Обмен данными по этому каналу происходит без предварительной авторизации, что и позволяет стороннему участнику отправить прибору несанкционированные команды. Уязвимость получила идентификатор CVE-2019-10964 с высокой оценкой степени угрозы — 7,1 балла по шкале CVSS.

Разработчики небезопасных помп не предусмотрели возможность обновления по воздуху, поэтому производитель вынужден изымать устройства. По сообщению FDA, компания уже нашла владельцев 4000 уязвимых устройств в США и продолжает работать с дистрибьюторами, чтобы связаться с остальными пациентами.

При невозможности обменять незащищенный прибор пользователям следует тщательно следить за тем, кто имеет к нему доступ, и не оставлять без внимания подозрительные уведомления. Эксперты FDA также призывают держать в тайне серийный номер помпы и не подключать ее к устройствам сторонних производителей.

Медицинское оборудование нередко вызывает беспокойство ИБ-экспертов, будь то из-за прямой угрозы пациентам или уязвимостей сторонних функций. По словам специалистов, многие такие устройства работают на платформах 20-летней давности — во времена их создания разработчики не думали о защите удаленных подключений за отсутствием необходимости в таких технологиях.

Впоследствии специалистам пришлось выстраивать сетевые функции на устаревшей архитектуре, что и провоцирует проблемы безопасности. Чтобы исправить текущую ситуацию, эксперты FDA совместно с корпорацией MITRE выпустили руководство для разработчиков медицинского оборудования. Материал объединяет рекомендации по предотвращению ИБ-инцидентов и реагированию на них.

Категории: Уязвимости