Производитель медицинского оборудования St. Jude Medical выпустил обновление для кардиостимуляторов Merlin@home, в рамках которого запатчил уязвимости, информация о коих была раскрыта в прошлом году компаниями MedSec Holdings и Muddy Waters. Тогда данный случай всколыхнул всю отрасль.

В исследовании, опубликованном в августе прошлого года, Muddy Waters сообщила о наличии уязвимостей в передатчике, который использовался для дистанционного взаимодействия с имплантируемыми кардиостимуляторами St. Jude Medical. Из-за багов дефибрилляторы и кардиостимуляторы были открыты для атак, что создавало риск для здоровья и жизни пациентов.

Публикация этой информации дала возможность Muddy Waters сыграть на понижение с акциями St. Jude Medical, что позволило Muddy Waters и MedSec получить прибыль от падения котировок. В Muddy Waters заявили, что выручка St. Jude Medical сократится почти вдвое из-за информации об уязвимостях, а восстановление после инцидента займет около двух лет. St. Jude Medical в тот момент пребывала в процессе поглощения компанией Abbott Laboratories; на момент написания настоящей статьи курс ее акций составлял $80,82, в то время как в конце августа из-за известных событий он упал до отметки $77,82.

Muddy Waters отозвалась о патчах как о «давно запоздавшем признании вины» и снова вернулась к аргументу, что St. Jude Medical ставит прибыль превыше пациентов.

«Новость подтверждает наше давнее мнение: если бы мы не опубликовали информацию о проблемах безопасности, St. Jude никогда бы не исправила баги, — заявил Карсон Блок (Carson Block), глава Muddy Waters. — Тем не менее выпущенные патчи не решают другие масштабные проблемы, например наличие универсального кода, который потенциально позволяет злоумышленникам контролировать импланты».

Джастин Боун (Justine Bone), глава MedSec, согласился со словами Блока о других серьезных уязвимостях.

«Мы приветствуем попытку St. Jude Medical исправить уязвимость, которой была присвоена высокая степень критичности министерством национальной безопасности, — сказал Боун. — Мы с нетерпением ожидаем действий по исправлению множества серьезных уязвимостей, которые все еще остаются незакрытыми. Среди таковых возможность без авторизации отправить на кардиостимулятор команду с устройств помимо Merlin@home. MedSec по-прежнему готова оказать Abbott Laboratories помощь в этом деле».

В октябре исследовательская фирма Bishop Fox в судебном обращении от лица Muddy Waters и MedSec, выступающих ответчиками по иску St. Jude Medical, заявила, что универсальный ключ или бэкдор может использоваться для отправки команд с передатчика Merlin@home на имплант. В Bishop Fox утверждали, что разработали PoC-атаку, которая позволяет воздействовать на кардиостимулятор и спровоцировать кардиогенный шок. Кроме этого Bishop Fox описала две другие атаки, несущие опасность для здоровья пациента, а также ряд изъянов в беспроводных протоколах.

Управление по контролю над продуктами питания и лекарственными средствами (FDA) США и St. Jude Medical выпустили совместное заявление, в котором рекомендовали врачам и пациентам продолжать использовать затронутые устройства.

«FDA рассмотрело патч St. Jude Medical, чтобы убедиться, что обновление решает проблему, представляющую наибольший из всех риск для здоровья пациента, — говорится в заявлении. — FDA проанализировало плюсы и минусы использования передатчика Merlin@home и определило, что польза от использования устройств перевешивает риски кибербезопасности».

Обновление будет автоматически доставлено на устройства Merlin@home. Пациентам рекомендуется подключить свое устройство к сети Merlin.net, чтобы скачать патч.

В изначальном отчете Muddy Waters были описаны две демонстрации атак на имплантируемые кардиостимуляторы через передатчик Merlin@home. Получив доступ к устройству, злоумышленник может изменить конфигурацию и вызвать сбой в работе, повысив пульс до критических значений или спровоцировав шок. Также атакующий может преждевременно потратить ресурс заряда. Описанные атаки могут быть осуществлены сравнительно низкоквалифицированными хакерами.

Muddy Waters и MedSec также говорили об изъянах в протоколах Merlin@home: они не поддерживают шифрование, а также могут быть скомпрометированы из-за слабых механизмов аутентификации.

«В результате атакующий может выдать себя за Merlin@home и подключиться к кардиостимулятору или даже всей внутренней сети St. Jude. Хотя производитель может закрыть отдельную уязвимость, открывающую возможность для такой атаки, огромное количество подключений конечных точек к сети, по нашему мнению, обуславливает потребность в масштабных и долгосрочных изменениях в сети», — говорится в отчете.

Решение публично раскрыть информацию об уязвимостях и нажиться на падении курса акций открыло новый виток в давней дискуссии о процессе публикации исследований безопасности, а также вызвало яростные дебаты по вопросам этики.

FDA совместно с министерством национальной безопасности США начало свое собственное расследование в сентябре. Сегодня ведомство заявило, что использует новую информацию о безопасности устройств St. Jude и при надобности изменит свои рекомендации.

«FDA напоминает пациентам, учреждениям здравоохранения и медикам, что любое медицинское устройство, подключенное к коммуникационной сети (например, Wi-Fi, общественной или домашней интернет-сети), может иметь уязвимости, открытые для эксплуатации, — заявили в FDA. — Хотя медицинские устройства все в большей степени полагаются на беспроводные технологии и ПО, они зачастую способны предоставлять более безопасную, эффективную, удобную и своевременную медицинскую помощь пациентам».

Категории: Главное, Уязвимости