После того, как ИБ-специалисты Билли Райос (Billy Rios) и Джонатан Баттс (Jonathan Butts) на прошлой неделе выступили с докладом на конференции Black Hat, компания MedTronic подверглась жесткой критике со стороны ИБ-сообщества.
Дело в том, что специалисты рассказали, что еще полтора года (в январе 2017 года) назад они обнаружили в медицинском оборудовании компании ряд опасных проблем, некоторые из которых можно эксплуатировать удаленно. Исследователи уверяют, что эти уязвимости могут представлять опасность для здоровья и жизни людей, однако представители MedTronic реагировали на предупреждения эспертов очень медленно, а в итоге вообще отказались исправлять ряд багов из-за «низкого риска» потенциальных атак.
На конференции Райос и Баттс продемонстрировали атаку на программатор CareLink 2090, который врачи используют для настройки вживленных пациентам кардиостимуляторов. Так как обновления устройства производятся не через HTTPS, а официальные прошивки не подписаны, исследователи смогли запустить на нем вредоносную прошивку. Скомпрометированный таким образом программатор может использоваться для причинения прямого физического вреда пациентам. К примеру, достаточно изменить в настройках кардиостимулятора частоту подачи или мощность электрических разрядов, которыми тот корректирует сердечный ритм владельца.
Также специалисты выяснили, что вмешаться в механизм обновлений программатора можно и со стороны серверов MedTronic. Дело в том, что изучая устройство, приобретенное на eBay, эксперты обнаружили возможность проникновения во внутреннюю сеть компании, что так же позволяет влиять на процесс обновления ПО устройств.
Исследователи рассказали и том, что взломать можно программаторы N'Vision Clinician (CVE-2018-10631 и CVE-2018-8849), однако в данном случае атака требует физического доступа к устройству.
Но одними кардиостимуляторами дело не ограничились. Уязвимости также были обнаружены в инсулиновых помпах MedTronic. Так, воспользовавшись SDR HackRF стоимостью 200 долларов, специалисты смогли передать устройству вредоносные инструкции и заставили его воздержаться от выдачи воображаемому пациенту запланированной дозы инсулина.
Учитывая всю серьезность выявленных проблем, реакция инженеров компании MedTronic поражает. Так, лишь недавно производитель все же опубликовал ряд бюллетеней безопасности, посвященных найденным уязвимостям (напомню, что с момента их обнаружения прошло более полутора лет). И, как выяснилось, исправлять некоторые баги компания не планирует вовсе.
Относительно медицинских помп (CVE-2018-10634 и CVE-2018-14781) производитель пишет, что в основном уязвимые устройства уже не представлены на рынке (по крайней мере, в США). К тому же, по умолчанию они не принимают команд «по воздуху», оповестят пользователя сигналом в случае внезапного изменения дозировки, а даже если настройки устройства отличны от дефолтных, злоумышленнику придется воспроизвести определенные радиосигналы для эксплуатации проблем. То есть патчей не будет.
Что касается кардиостимуляторов, представители MedTronic, в сущности, отмели все предостережения экспертов из-за «низкого риска» потенциальных атак. По мнению производителя, предложенные варианты атак на программаторы выглядит «непрактично», и пациентам ничего не угрожает, пока их лечащий врач уверен в том, что его программатор не был скомпрометирован. Таким образом, патчей для N'Vision Clinician тоже можно не ждать, а в случае CareLink 2090 были устранены упомянутые проблемы на серверной стороне (CVE-2018-5446, CVE-2018-544, и CVE-2018-10596), а сами устройства теперь рекомендуют применять только в защищенной среде.
Оправдания производителя не внушают доверия хотя бы из-за того, что таргетированные заражения медицинских учреждений шифровальщиками, вымогательским ПО и иной малварью уже стали частым явлением. Также нельзя забывать и о весьма скромном техническом оснащении многих госпиталей, больниц, клиник и так далее. Многие системы там до сих пор работают под управлением Windows XP и не видели обновлений годами.
Нужно отметить, что ситуация, сложившаяся вокруг уязвимостей в оборудовании MedTronic, отнюдь неуникальна. Так, ИБ-специалистам потребовалось несколько лет, чтобы доказать, что кардиостимуляторы и кардиодефибрилляторы компании St. Jude Medical содержат многочисленные уязвимости, которые могут представлять опасность для здоровья и жизни пациентов. При этом заставить производителя действовать смогло только Управление по контролю за продуктами и лекарствами США (Food and Drug Administration, FDA), которое заинтересовалось происходящим, инициировало расследование случившегося и в итоге подтвердило выводы ИБ-экспертов.
К сожалению, в случае MedTronic, представителей FDA и ICS-CERT удалось убедить в том, что текущих механизмов безопасности вполне достаточно.