Хакер Билли Райос (Billy Rios) продолжает изучать безопасность медицинского оборудования производства американской компании Hospira. В частности, систему управления инфузионными помпами этой фирмы, 400 000 которых установлено в больницах по всему миру.
Ещё в мае 2014 года Райос сообщил в Министерство внутренней безопасности США и Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) о ряде уязвимостей в системе управления инфузионной помпой PCA 3 Lifecare производства Hospira. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств.
Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча.
В апреле 2015 года другой независимый исследователь огласил некоторые из этих уязвимостей на широкую публику, после чего поднялся небольшой переполох. Даже FDA обратила внимание и выпустила предупреждение.
Билли Райос сообщил компании Hospira, что уязвимости могут присутствовать и в других моделях инфузионных помп, а не только в PCA 3 Lifecare, поскольку у них схожие прошивки и программное обеспечение. Но компания не выразила желание проводить исследование. Хакер потратил год, закупив оборудование за собственные средства, и проведя подробный аудит.
Выяснилось, что многие модели помп Hospira используют абсолютно такое же ПО, так что подвержены тем же самым уязвимостям.
Баги подтверждены для следующих моделей:
- PCA 3 Lifecare
- PCA 5 Lifecare
- Plum A+
- PCA Lifecare
- Symbiq
Скорее всего, уязвимы и другие модели, хотя это ещё не подтверждено:
- Plum A+
- Plum 360
- Sapphire
- Sapphire Plus
Среди уязвимостей — возможность подделки списка лекарств для инфузионной помпы; неавторизованный доступ к интерфейсу telnet коммуникационного модуля с рутовым доступом; идентичные зашитые логин и пароль во всех устройствах; идентичные секретные ключи; идентичные сертификаты шифрования; множество устаревших программ (более 100 различных уязвимостей).
Райос подробно разобрался, какие возможности открывает эксплуатация упомянутых уязвимостей. Если злоумышленник может заменить прошивку на устройстве (теоретически, у него есть такие права), то можно делать что угодно. В частности, хакеру впервые удалось в дистанционном режиме увеличить дозировку лекарства, которое получает больной через инфузионную помпу, вплоть до смертельной дозировки. Удалённый доступ к помпе возможен из любого места внутри больничной локальной сети или через интернет, если злоумышленнику удастся войти в больничную локальную сеть.
На практике Билли Райос продемонстрирует атаку на конференции по безопасности SummerCon, которая состоится в июле 2015 года в Нью-Йорке.
