Более 100 000 медицинских инфузионных насосов по всей Европе уязвимы к критической ошибке многолетней давности

 

Данные, собранные с более чем 200 000 подключенных к сети медицинских инфузионных насосов в медучреждениях Европы, используемых для доставки лекарств и жидкостей пациентам, показывают, что 75% из них работают с известными проблемами безопасности, которыми могут воспользоваться злоумышленники.

Выводы показывают, что десятки тысяч устройств уязвимы для шести критических недостатков (9,8 из 10), о которых сообщалось в 2019 и 2020 годах.

Используя данные, полученные от клиентов, исследователи Palo Alto Networks проанализировали состояние безопасности более 200 000 инфузионных насосов и обнаружили, что от 30 000 до как минимум 100 000 из них уязвимы для критических проблем с безопасностью.

Наиболее распространенной уязвимостью критической серьезности является CVE-2019-12255, ошибка повреждения памяти в операционной системе реального времени (RTOS) VxWorks, используемой для встроенных устройств, включая системы инфузионных насосов.

По данным Palo Alto Networks, дефект присутствует в 52% проанализированных инфузионных насосов, что составляет более 104 000 устройств.

CVE-2019-12255 является частью набора из 11 уязвимостей, известных как "URGENT/11", обнаруженных и зарегистрированных в 2019 году исследователями компании Armis, которая обеспечивает безопасность подключенных устройств.

Wind River, которая поддерживает VxWorks RTOS, устранила все проблемы URGENT/11 с помощью исправлений, доступных с 19 июля 2019 года. Однако огромные задержки с применением обновлений или их неустановка вообще являются хорошо известными проблемами в ландшафте встраиваемых устройств.

Остальные пять ошибок критического уровня затрагивают продукты американской медицинской компании Baxter International и были зарегистрированы в июне 2020 года.