Эксперты из ISC-CERT сообщили о наличии в беспроводных инфузионных насосах Smiths Medical Medfusion 4000 ряда опасных уязвимостей, которую дают злоумышленникам возможность получать дистанционный доступ к устройству и управлять им.
Оборудование Smiths Medical для подачи небольших доз лекарств применяется в учреждениях здравоохранения в разных странах мира.
Часть выявленных уязвимостей имеет высокую степень опасности. Хакер может без труда удаленно заполучить несанкционированный доступ к устройству и управлять работой насоса. Также следует отметить, что злоумышленник может осуществить взлом коммуникационного и терапевтического модулей устройства.
Самая опасная из найденных уязвимостей относится к применению вшитой учетной информации для автоматического беспроводного подключения. Кроме того, эксперты выявили уязвимость переполнения буфера, благодаря которой при определенных условиях можно дистанционно выполнять код на устройстве.
Исследователи также обнаружили, что в насосах отсутствует механизмы аутентификации и проверки сертификатов (дает возможность проводить атаку типа man-in-the-middle), а учетная информация для FTP-сервера устройства является неизменяемой.
Эти уязвимости присутствуют в устройствах Medfusion 4000 Wireless Syringe Infusion Pump v.1.1, 1.5 и 1.6. Специалисты Smiths Medical намерены выпустить новую версию прошивки 1.6.1 в январе следующего года.
