Недостатки в больничной анестезии и дыхательных аппаратах позволяют удаленное вмешательство

Исследователи безопасности обнаружили уязвимость в сетевом протоколе, используемом в популярных больничных наркозных и дыхательных аппаратах, которые, по их словам, в случае использования могут использоваться для злонамеренного вмешательства в устройства.

Исследователи из компании CyberMDX, занимающейся вопросами безопасности в здравоохранении, заявили, что протокол, используемый в GE Приборы Aestiva и GE Aespire может быть использован отправлять команды, если они подключены к терминальному серверу в сети больницы. Исследователи утверждают, что эти команды могут отключать сигналы тревоги, изменять записи – и могут использоваться для изменения состава аспирационных газов, используемых как в респираторе, так и в устройствах для анестезии.

Национальная безопасность выпустил консультативный во вторник, говоря о недостатках, необходимо использовать «низкий уровень квалификации».

«Устройства используют собственный протокол», – сказал Элад Луз, руководитель исследования CyberMDX. «Довольно просто выяснить команды».

Одна из этих команд вынуждает устройство использовать более старую версию протокола, которая все еще присутствует в устройствах для обеспечения обратной совместимости, сказал Луз. Хуже того, ни одна из команд не требует какой-либо аутентификации, сказал он.

«На каждой версии вы можете сначала отправить команду для запроса на изменение версии протокола на самую раннюю, а затем отправить запрос на изменение состава газа», – сказал он.



«Пока устройство портировано в сеть через сервер терминалов, любой, кто знаком с протоколом связи, может принудительно выполнить возврат и отправить на компьютер множество незаконных команд», – сказал он.

Другими словами, устройства намного безопаснее, если они не подключены к сети.

CyberMDX раскрыл уязвимости GE в конце октября 2018 года. GE заявила, что затронуты версии 7100 и 7900 моделей Aestiva и Aespire. Обе модели развернуты в больницах и медицинских учреждениях по всей территории США.

Представитель GE Эми Саросик сказала TechCrunch: «После формального исследования риска мы определили, что этот потенциальный сценарий реализации не представляет клиническую опасность или прямой риск для пациента, и нет никакой уязвимости с помощью самого устройства анестезии».

GE заявила, что основывает свою оценку отсутствия риска для ухода за пациентами на основе международных стандартов безопасности здравоохранения и проверяет максимальные отклонения в изменении параметров от раскрытой озабоченности. «Наша оценка не позволяет нам полагать, что существуют проблемы с безопасностью пациентов», – сказал представитель.

Компания отказалась сообщить, сколько устройств затронуто, но что способность изменять состав газа больше не доступна в системах, проданных после 2009 года.

Это второй набор уязвимостей, выпущенный CyberMDX за многие месяцы. В июне исследовательская фирма найдены уязвимости в широко используемом медицинском инфузионном насосе.