Peretas Dapat Meningkatkan Dosis Obat Melalui Cacat Pompa Infus


Dari alat pacu jantung dan pompa insulin ke mesin mamografi, ultrasound, dan monitor, serangkaian perangkat medis yang memusingkan ditemukan mengandung kerentanan keamanan yang mengkhawatirkan. Tambahan terbaru untuk jajaran yang tercela itu adalah pompa dan dok infus yang populer, Pompa Volume Besar Ruang B. Braun Infusomat dan Stasiun Luar Angkasa B. Braun, yang dapat dimanipulasi oleh peretas yang gigih untuk memberikan obat dosis ganda kepada para korban.

Pompa infus mengotomatiskan pengiriman obat dan nutrisi ke dalam tubuh pasien, biasanya dari sekantong cairan intravena. Mereka sangat berguna untuk memberikan dosis obat yang sangat kecil atau bernuansa tanpa kesalahan, tetapi itu berarti taruhannya tinggi ketika masalah muncul. Antara tahun 2005 dan 2009, misalnya, FDA menerima sekitar 56.000 laporan tentang “kejadian buruk” terkait dengan pompa infus “termasuk banyak cedera dan kematian,” dan badan tersebut kemudian menindak keamanan pompa infus pada tahun 2010. Akibatnya, produk seperti Pompa Volume Besar Ruang Infusomat B. Braun sangat terkunci pada tingkat perangkat lunak; seharusnya tidak mungkin mengirim perintah perangkat secara langsung. Tetapi para peneliti dari perusahaan keamanan McAfee Enterprise akhirnya menemukan cara untuk mengatasi penghalang ini.

“Kami menarik setiap utas yang kami bisa dan akhirnya kami menemukan skenario terburuk,” kata Steve Povolny, kepala kelompok Riset Ancaman Lanjutan McAfee. “Sebagai penyerang, Anda seharusnya tidak dapat bergerak bolak-balik dari SpaceStation ke sistem operasi pompa yang sebenarnya, jadi melanggar batas keamanan itu dan mendapatkan akses untuk dapat berinteraksi di antara keduanya—ini adalah masalah nyata. Kami menunjukkan bahwa kami dapat menggandakan laju aliran.”

Para peneliti menemukan bahwa penyerang dengan akses ke jaringan fasilitas perawatan kesehatan dapat mengendalikan Stasiun Luar Angkasa dengan mengeksploitasi kerentanan konektivitas umum. Dari sana mereka dapat mengeksploitasi empat kelemahan lainnya secara berurutan untuk mengirim perintah penggandaan obat. Serangan penuh tidak mudah dilakukan dalam praktik dan membutuhkan pijakan pertama di jaringan fasilitas medis.

“Eksploitasi yang berhasil dari kerentanan ini dapat memungkinkan penyerang canggih untuk membahayakan keamanan Space atau perangkat komunikasi compactplus,” tulis B. Braun dalam peringatan keamanan kepada pelanggan, “memungkinkan penyerang untuk meningkatkan hak istimewa, melihat informasi sensitif, mengunggah file arbitrer , dan melakukan eksekusi kode jarak jauh.” Perusahaan lebih lanjut mengakui bahwa seorang peretas dapat mengubah konfigurasi pompa infus yang terhubung, dan dengan itu kecepatan infus.

Perusahaan mengatakan dalam pemberitahuan bahwa menggunakan versi terbaru dari perangkat lunaknya yang dirilis pada bulan Oktober adalah cara terbaik untuk menjaga keamanan perangkat. Ini juga merekomendasikan agar pelanggan menerapkan mitigasi keamanan jaringan lainnya seperti segmentasi dan otentikasi multifaktor.

B. Braun menambahkan dalam sebuah pernyataan kepada WIRED bahwa kerentanan “terkait dengan sejumlah kecil perangkat yang menggunakan versi lama dari perangkat lunak B. Braun” dan bahwa perusahaan belum melihat bukti bahwa kerentanan telah dieksploitasi.

“Kami sangat tidak setuju dengan karakterisasi McAfee dalam postingannya bahwa ini adalah ‘skenario realistis’ di mana keselamatan pasien berada dalam risiko,” tambah perusahaan itu dalam pernyataannya.

Namun, para peneliti McAfee mencatat bahwa sebagian besar bug belum benar-benar ditambal pada produk yang sudah ada. B. Braun, kata mereka, baru saja menghapus fitur jaringan yang rentan di versi baru SpaceStation-nya.

Setelah peretas menguasai SpaceStation dengan mengeksploitasi bug jaringan pertama, peretasan dimainkan dengan menggabungkan empat kerentanan yang semuanya berhubungan dengan kurangnya kontrol akses antara SpaceStation dan pompa. Para peneliti menemukan perintah dan kondisi khusus di mana pompa tidak cukup memverifikasi integritas data atau mengotentikasi perintah yang dikirim dari SpaceStation. Mereka juga menemukan bahwa kurangnya pembatasan unggah memungkinkan mereka mengotori cadangan perangkat dengan file berbahaya, dan kemudian memulihkan dari cadangan untuk memasukkan malware ke dalam pompa. Dan mereka memperhatikan bahwa perangkat mengirim beberapa data bolak-balik dalam teks biasa tanpa enkripsi, sehingga menyebabkan intersepsi atau manipulasi.

Diposting oleh : SGP Prize