Ερευνητές από τη CyberMDX, μια εταιρεία ασφάλειας, που ασχολείται με τον τομέα της υγείας, ανακάλυψαν ευπάθειες σε δύο συσκευές χορήγησης αναισθησίας, που χρησιμοποιούνται σε νοσοκομεία και κατασκευάζονται από τη General Electric (GE).
Οι δύο ευάλωτες συσκευές είναι η GE Aestiva και η GE Aespire (μοντέλα 7100 και 7900). Σύμφωνα με τους ερευνητές, οι ευπάθειες εντοπίστηκαν στο firmware των συσκευών.
Οι ευπάθειες μπορούν να θέσουν τους ασθενείς σε κίνδυνο
Η CyberMDX δήλωσε ότι όταν οι επιτιθέμενοι βρίσκονται στο ίδιο δίκτυο με τις συσκευές (στη συγκεκριμένη περίπτωση, στο δίκτυο ενός νοσοκομείου), μπορούν να εκμεταλλευτούν τις ευπάθειες και να στείλουν εντολές, απομακρυσμένα, για να αλλάξουν τις ρυθμίσεις των συσκευών.
Ένας ερευνητής είπε ότι αυτές οι εντολές υποστηρίζονται από το σχεδιασμό της συσκευής. Ορισμένες υποστηρίζονται μόνο σε μια παλαιότερη έκδοση του πρωτοκόλλου, ωστόσο υπάρχει μια άλλη εντολή, που επιτρέπει την αλλαγή της έκδοσης πρωτοκόλλου. Αν το κάνει αυτό ο εισβολέας, μετά θα μπορεί να στείλει όλες τις υπόλοιπες εντολές.
Έτσι, οι επιτιθέμενοι μπορούν να κάνουν διάφορες αλλαγές, που θα μπορούσαν να θέσουν σε κίνδυνο τους ασθενείς. Θα μπορούσαν, για παράδειγμα, να αλλάξουν τη σύνθεση αερίων στα μηχανήματα (π.χ. τροποποίηση της συγκέντρωσης οξυγόνου, CO2, N2O), να βάλουν σε σίγαση τους συναγερμούς των συσκευών, ώστε να μην ακούγονται αν υπάρχει κάποιο πρόβλημα, να τροποποιήσουν τα αρχεία με δεδομένα και χρόνους, που δείχνουν, για παράδειγμα πότε έγινε μια επέμβαση και πώς πήγε.
Όλα αυτά είναι πολύ σοβαρά θέματα, που θέτουν σε κίνδυνο τη ζωή των ασθενών.
“Η αναισθησιολογία είναι μια περίπλοκη επιστήμη και κάθε ασθενής μπορεί να αντιδράσει διαφορετικά στη θεραπεία. Ως εκ τούτου, οι αναισθησιολόγοι πρέπει να ακολουθούν αυστηρά πρωτόκολλα για τη χρήση διαδικασιών, δόσεων και πολλών άλλων στοιχείων.
Για να κάνουν οι αναισθησιολόγοι τη δουλειά τους, θα πρέπει να γνωρίζουν ακριβώς κάποια στοιχεία. Αν παραβιαστούν οι ρυθμίσεις ώρας και ημερομηνίας, οι γιατροί δεν μπορούν να κάνουν τους απαραίτητους ελέγχους.
“Αυτό είναι ένα πολύ σοβαρό πρόβλημα για οποιοδήποτε ιατρικό κέντρο”, δήλωσε ο ερευνητής.
Το πιο ανησυχητικό είναι ότι αυτές οι ευπάθειες είναι εύκολο να χρησιμοποιηθούν. Το μόνο, που χρειάζεται, είναι η απόκτηση πρόσβασης στο δίκτυο του νοσοκομείου, το οποίο δεν είναι πολύ δύσκολο, αν σκεφτούμε ότι τα δίκτυα και τα συστήματα των περισσότερων νοσοκομείων χρησιμοποιούν παλιά και μη ασφαλή λογισμικά.
Τι λέει η GE;
Η CyberMDX έχει αναφέρει τις ευπάθειες στην GE, από τον Οκτώβριο του 2018. Η GE αποφάσισε να μην εκδώσει ενημερώσεις, αλλά δημοσίευσε κάποιες συμβουλές στο website της.
Η GΕ ανέφερε πως οι ευπάθειες μπορούν να αποφευχθούν, αν οι συσκευές αναισθησίας δεν είναι συνδεδεμένες με το δίκτυο ενός νοσοκομείου. Σύμφωνα με την εταιρεία, οι πραγματικές ευπάθειες εντοπίζονται μόνο στα πρωτόκολλα επικοινωνιών, που χρησιμοποιούνται όταν η σειριακή θύρα των συσκευών (π.χ. USB) είναι συνδεδεμένη με ένα δίκτυο TCP / IP. Εάν οι συσκευές δεν είναι συνδεδεμένες στο δίκτυο, δεν μπορούν να χρησιμοποιηθούν από τους hackers, ακόμη και αν έχουν αποκτήσει πρόσβαση στο δίκτυο του νοσοκομείου.
Επιπλέον, η GE είπε ότι η δυνατότητα τροποποίησης της σύνθεσης αερίων δεν υπάρχει πλέον στα μηχανήματα, που πωλούνται μετά το 2009. Επομένως, δεν υπάρχει πλέον αυτός ο κίνδυνος, εκτός εάν τα νοσοκομεία χρησιμοποιούν πολύ παλιά μηχανήματα GE Aestiva και GE Aespire.
