Кардиостимуляторы, дефибрилляторы и другое медицинское оборудование, производимое одной из ведущих компаний на этом рынке, являются уязвимыми для «катастрофических» кибератак. Согласно отчету инвестиционной компании Muddy Waters Capital, составленному в сотрудничестве со специалистами MedSec, десятки тысяч кардиостимуляторов, производимых St. Jude Medical, уязвимы для атак.

В отчете говорится, что в продукции компании не только присутствуют множество уязвимостей, но и устройства Merlin@home создают дополнительный пласт проблем, открывая атакующим «доступ к экосистеме устройства STJ».

«Эти устройства (Merlin@home) можно запросто купить на eBay не более чем за $35. Они не имеют даже простейших защитных механизмов, и, как сказано в нашем отчете, они также могут быть использованы для атак на другие устройства, производимые STJ», — пишут авторы отчета.

Согласно расследованию, проведенному специалистами MedSec, такие устройства St. Jude Medical, как кардиостимуляторы, имплантируемые дефибрилляторы и СРТ-устройства (сердечная ресинхронизирующая терапия), уязвимы для атак, приводящих к сбою в их работе или разрядке батарей.

«В течение 18 месяцев нами было проведено скрупулезное расследование деятельности компаний, занимающихся производством медицинского оборудования. Уязвимости, обнаруженные нами в оборудовании, производимом St. Jude, крайне негативно выделяют эту компанию на общем фоне», — говорится в заявлении Джастина Боуна (Justine Bone), гендиректора и руководителя MedSec.

Представители управления по санитарному надзору за качеством пищевых продуктов и медикаментов США, организации, в сферу деятельности которой как раз таки входят надзор и регулирование безопасности медицинского оборудования, отказались прокомментировать отчет, предоставленный MedSec и Muddy Waters.

К моменту публикации статьи представители STJ, производителя медицинского оборудования, расположенного в городе Сент-Пол, штат Миннесота, так и не ответили на запрос предоставить комментарий. Однако технический директор компании Филипп Эбелинг (Philip Ebeling) заявил следующее: «Подобные заявления ложны. Наше оборудование обладает несколькими ступенями защиты. Мы на регулярной основе проводим оценку безопасности и сотрудничаем со сторонними ИБ-экспертами для обеспечения безопасности нашего оборудования, это в особенности касается устройств Merlin@home».

О наличии проблем с оборудованием, производимым St. Jude Medical, стало известно еще три месяца назад, когда специалисты MedSec, организации, базирующейся в Майами, сообщили о них представителям инвестиционной компании Muddy Waters. До этих событий специалисты MedSec в течение года занимались поиском уязвимостей в медицинском оборудовании.

Специалисты, однако, пошли на весьма противоречивый шаг, сообщив об уязвимостях не производителю оборудования, а финансовой компании Muddy Waters. Представители последней в свою очередь объявили продукцию St. Jude Medical «бомбами с часовым механизмом». Что интересно, в случае падения цен на акции St. Jude Medical MedSec может получить определенную финансовую выгоду.

В минувшую среду биржа NASDAQ остановила торговлю акциями St. Jude Medical после их падения на 2,5%. После возобновления торгов компания не только смогла отбить свои потери, но и добилась подъема цены на свои акции на 0,2% от ее значения на начало торгов.

Официальное заявление гендиректора MedSec, опубликованное на сайте компании, гласит:

«Мы согласны с тем, что наши методы отличаются от общепринятых, однако мы посчитали, что это был единственный действенный способ побудить St. Jude Medical к действию. Что самое главное, мы считаем, что у нынешних и потенциальных пациентов есть право знать о том, каким рискам они подвергаются. Клиенты должны требовать от производителей больше прозрачности, особенно когда дело касается качества и функционала продукции».

Специалисты MedSec заявляют, что устройства Merlin@home являются наиболее слабым звеном экосистемы оборудования St. Jude Medical. «Любой программатор или устройство Merlin@home могут выходить на связь с другими кардиологическими устройствами, поскольку используемый ими протокол не имеет надежного механизма аутентификации», — говорится в отчете.

MedSec_HomeDevice

Изображение предоставлено компанией Muddy Waters

Атакующий может с легкостью проанализировать протокол связи, внедриться в экосистему устройств производства St. Jude Medical и совершить с кардиологическими устройствами различные вредоносные манипуляции. В отчете также сказано, что компания-производитель не удосужилась реализовать надежный механизм аутентификации и защиту от внешних вмешательств.

Критике подверглась и дистанция, на которой устройства Merlin@home могут взаимодействовать с кардиоимплантами при помощи радиосигналов. По словам специалистов, текущую дальность, равную примерно 15 метрам, необходимо существенно сократить. Таким образом, атакующий сможет осуществлять лишь персональные атаки, в то время как сейчас он может делать это на удалении, оставаясь незамеченным.

Исследователям также удалось заполучить root-доступ к устройствам Merlin@home. Вызвано это тем, что устройства повторно используют одни и те же сертификаты и общие SSH-ключи, а также содержат статичные учетные данные. Все это позволяет неаутентифицированному атакующему заполучить доступ к системе с привилегиями уровня root.

Как заявляют эксперты, обладая таким доступом, атакующий может совершить атаку, приводящую к сбою в работе кардиологического устройства, для чего требуется передать определенную комбинацию сигналов. Подобная атака позволяет не только удаленно отключить кардиологическое устройство, но и заставить его «задавать опасный для жизни пациента сердечный ритм».

Другой тип атаки, обнаруженный специалистами MedSec, позволяет привести к разрядке батареи устройства. Суть ее в том, что устройство Merlin@home посылает определенный набор сигналов, вызывающих ускоренную разрядку кардиологического устройства. В ходе тестового испытания специалисты смогли разрядить полностью заряженную батарею кардиоимпланта всего за сутки.

По заявлениям представителей Muddy Waters, они не считают, что жизнь пациентов находится в непосредственной опасности. «Мы, однако, считаем, что с точки зрения безопасности наиболее правильным решением в данном случае будет отключить дистанционный функционал кардиоимплантов», — говорится в их заявлении.

Категории: Уязвимости