Medische apparaten die van buiten te benaderen zijn, blijven een probleem voor ziekenhuizen. Een onderzoeker vond maar liefst acht kwetsbaarheden in deze infuuspompen van Smiths Medical en ICS-CERT waarschuwt gebruikers nu dat ze deze pompen maar beter in een VLAN kunnen stoppen, want aanvallers kunnen gruwelijke dingen doen omdat ze de communicatie van de apparaten kunnen overnemen.

Serie kwetsbaarheden

Het gaat daarbij onder meer om het gebruik van een hardcoded standaardwachtwoord als de draadloze verbinding wordt opgezet (deze kwetsbaarheid krijgt een CVSS-score van 9.8), een FTP-server die geen authenticatie vereist om te benaderen (wanneer dat wel vereist is, zijn er weer hardcoded credentials) en een telnetverbinding met hardcoded credentials.

Die laatste twee zijn overigens minder spannend dan ze klinken, omdat aanvallers geen bestanden kunnen schrijven naar de pomp via deze methoden en beperkt zijn qua mogelijkheden. Dat geldt niet voor de eerste kwetsbaarheid, waarmee aanvallers de volledige controle over de infuuspomp in handen kunnen krijgen.

Update in 2018

De fabrikant heeft een update die het probleem moet verhelpen uit in januari 2018. In de tussentijd geeft de producent de volgende tips - waar je overigens ook over kunt discussiëren - om eventuele schade te beperken:

  • Wijs een statisch IP-adres toe aan de infuuspomp
  • Monitor het netwerk op malafide DNS- en DHCP-servers.
  • Segmenteer medische apparaten van andere IT-infrastructuur die in de zorginstelling wordt gebruikt.
  • Denk na over een zero trust-model met microsegmentatie.
  • Denk na over het gebruik van VLAN's voor netwerksegmentatie.
  • Gebruik wachtwoordeisen (onderkast, hoofdletters, speciale tekens en een minimale lengte).
  • Recycle wachtwoorden niet.
  • Maak regelmatig back-ups en evalueer geregeld de werking.