02 апреля 2016

[уязвимость] Эксперты обнаружили почти 1,5 тыс. уязвимостей в медицинском оборудовании

Из общего количества ошибок 715 уязвимостей имеют уровень опасности, превышающий 7 баллов по шкале CVSS. 

Исследователи в сфере информационной безопасности Билли Райос (Billy Rios) и Майк Ахмади (Mike Ahmadi) задались целью проверить, насколько уязвимым является устаревшее медицинское оборудование, до сих пор используемое в медцентрах и больницах. Эксперты приобрели списанную автоматическую систему выдачи лекарств CareFusion Pyxis Supply Station (версия 8.1.3), работающей под управлением Windows XP, и подвергли ее тщательному исследованию. Результат оказался действительно впечатляющим – в системе было обнаружено 1418 уязвимостей (все можно эксплуатировать удаленно).


Из общего количества ошибок 715 уязвимостей имеют уровень опасности, превышающий 7 баллов по шкале CVSS (common vulnerability scoring system). 606 уязвимостей получили рейтинг опасности от 4.0 до 6.9 баллов, 97 уязвимостей – от 0 до 3.9 балла.

Согласно предупреждению ICS-CERT, для эксплуатации ошибок не требуется особых технических навыков, т.е. система выдачи лекарств может быть дистанционно атакована и взята под контроль практически любым злоумышленником.

Система CareFusion Pyxis Supply Station имеет несколько версий операционной системы. Уязвимыми являются редакции 8.0, 8.1.3 2003, а также 9.0 - 9.3 2003. Pyxis SupplyStation 9.3, 9.4 и 10.0 под управлением Server 2008/Server 2012/Windows 7, вышеуказанным проблемам не подвержены.