Специалисти по киберсигурност установиха, че няколко медицински устройства, произведени от швейцарската медицинска компания Roche, поставят пациентите в риск от кибератаки.

Експертите от компанията Medigate, специализирана в осигуряването на защита на свързани с интернет медицински устройства, са открили общо пет уязвимости в три продукта на Roche.

Засегнатите апарати са устройствата за проверка на захарта в кръвта Accu-Chek, устройствата за антикоагулационна терапия CoaguChek и преносимите системи за обгрижване Cobas.

Всяка от откритите уязвимости засяга определени модели и версии на устройствата на Roche.

Засегнатите продукти се състоят от базово и преносимо устройство за безжична комуникация с базовата станция. Специалистите по киберсигурност от Medigate са открили, че хакер с достъп до локалната мрежа може да проникне в базовото устройство, а оттам да атакува успешно и преносимите устройства.

Уязвимостите са определени с точки между 6,5 и 8,3 по CVSSv3 скалата, което е доста сериозен риск за сигурността на пациентите, които ползват тези апарати.

Засегнати са устройствата Accu-Chek Inform II, CoaguChek Pro II, CoaguChek XS Plus, CoaguChek XS Pro, cobas h 232 POC, както и свързаните базови станции, хъбове и ръчните базови устройства. Уязвимостите не са засегнали следните устройства Accu-Chek:

  • Accu-Chek Inform II Base Unit Light.
  • Accu-Chek Inform II Base Unit NEW със софтуер 04.00.00 или с по-нова версия.

Уязвимостта CVE-2018-18561 е оценена с 6,5 CVSS точки и засяга продуктите:

  • Accu-Chek Inform II Base Unit / Base Unit Hub – всички по-нови от 03.01.04 версии.
  • CoaguChek / cobas h232 Handheld Base Unit – всички по-нови от 03.01.04 версии.

CVE-2018-18562 е определена с 8,0 CVSS точки и е налична в продуктите:

  • Accu-Chek Inform II Base Unit / Base Unit Hub – всички по-нови от 03.01.04 версии.
  • CoaguChek / cobas h232 Handheld Base Unit – всички по-нови от 03.01.04 версии.

Също с 8,0 CVSS точки е оценена уязвимостта CVE-2018-18563, която засяга:

  • Accu-Chek Inform II Instrument – всички версии преди 03.06.00 (със сериен номер под 14000) и 04.03.00 (със сериен номер под 14000).
  • CoaguChek Pro II – всички по-нови от 04.03.00 версии.
  • CoaguChek XS Plus – всички по-нови от 03.01.06 версии.
  • CoaguChek XS Pro – всички по-нови от 03.01.06 версии.
  • cobas h 232 – всички версии преди 03.01.03 (със сериен номер под KQ0400000 или KS0400000)
  • cobas h 232 – всички версии преди 04.00.04 (със сериен номер под KQ0400000 или KS0400000)

Като още по-сериозна е определена уязвимостта CVE-2018-18564 с 8,3 CVSS точки. Тя засяга продуктите: 

  • Accu-Chek Inform II Instrument – всички версии преди 03.06.00 (със сериен номер под 14000) и 04.03.00 (със сериен номер под 14000)
  • CoaguChek Pro II – всички версии преди 04.03.00
  • cobas h 232 – всички версии преди 04.00.04 (със сериен номер под KQ0400000 или KS0400000)

8,2 CVSS точки са определени на CVE-2018-18565, която засяга:

  • Accu-Chek Inform II Instrument – всички версии преди 03.06.00 (Serial number below 14000) / 04.03.00 (Serial Number above 14000).
  • CoaguChek Pro II – всички версии преди 04.03.00.
  • CoaguChek XS Plus – всички версии преди 03.01.06.
  • CoaguChek XS Pro – всички версии преди 03.01.06.
  • cobas h 232 – всички версии преди 03.01.03 (Serial number below KQ0400000 or KS0400000).
  • cobas h 232 – всички версии преди 04.00.04 (Serial number above KQ0400000 or KS0400000).

Бъговете могат да бъдат експлоатирани от хакер в мрежата, за да заобиколи автентикацията за вход в разширен интерфейс. Освен това хакерът ще може и да изпълни код на атакуваното устройството, използвайки специфични медицински протоколи, както и да качи произволни файлове във файловата система.

С оглед на коректността трябва да уточним, че една от уязвимостите, позволяваща изпълнението на команди, все пак изисква автентикация. Но според ICS-CERT въпросните продукти имат слаби лични входни данни за достъп, а това означава, че на хакерите въобще няма да им бъде трудно да се автентикират в системата.

"Ако са познати, тези уязвимости са лесни за експлоатиране, но са много трудни за откриване и проучване", коментираха откритието си експертите от Medigate пред SecurityWeek.

От Roche признават, че тези уязвимости могат да бъдат реална заплаха за пациентите, използващи споменатите засегнати устройства.

"Тези уязвимости позволяват пълен контрол върху базовата станция и ръчното устройство, включително върху целия генериран мрежови трафик. Това означава, че медицинският протокол, използван от устройството, може да се подправи, а медицинските данни да се променят. В случай на измерване на кръвната захар, това може да изложи пациента на риск. Ако устройството е манипулирано, това може да повлияе върху отчитането или предаването на данните, което може да доведе до неправилно лечение", от Medigate разясняват опасността, която може да породи експлоатирането на уязвимостите.

От Roche разработват пачове за откритите от Medigate уязвимости, които би трябвало да бъдат разпространени през ноември. Дотогава обаче от медицинската компания препоръчват на пациентите си да ограничат и мрежовия, и физическия достъп до устройствата, засегнати от тези бъгове. До разпространяването на пачовете, това са единствените мерки, които пациентите могат да вземат сами, за да се предпазят. По този начин ще могат да защитят устройствата си от заразяване със злонамерен софтуер, както и от неоторизиран достъп на киберпрестъпници.

Макар и да звучи като сценарий на криминале, в днешния технологичен свят отдавна вече не е рядкост употребата на техника за умишлено нанасяне на вреда върху здравето и живота на набелязани жертви от умели киберпрестъпници. Така че AMATAS ви напомня да бъдете особено внимателни към всички IoT устройства, които използвате в ежедневието си, тъй като във всеки един момент те могат да дадат пълен достъп на хакерите до личния ви живот и здраве.

Снимка: Roche.com