Infusion Pumps Impacted by Years-Old Critical Vulnerabilities: Report
2022/03/03 SecurityWeek — Palo Alto Networks の Unit 42 の研究者たちによると、約10万台以上の医療用輸液ポンプが、3年ほど前に公開された深刻な脆弱性の影響を受けていることが判明した。医療機関や病院のネットワーク上に存在する、20万台以上の輸液ポンプをスキャンした結果、これらのネットワーク接続機器の 75% が既知の脆弱性の影響を受け、サイバー攻撃の可能性にさらされていることが判明した。
Palo Alto Networks の研究者たちによると、さらに憂慮すべきことは、スキャンされたデバイスの 52% 以上が、2019年に確認された2つの深刻なセキュリティ欠陥である、CVE-2019-12255 (CVSS 9.8) および CVE-2019-12264 (CVSS 7.1) の影響を受けているという現実にある。また、10万台以上の輸液ポンプが、中程度の深刻さの古いバグ (CVE-2016-9355/CVE-2016-8375) を持っていることが判明したと、同社は述べている。
研究者たちは、「これらの脆弱性やアラートの一部は、組織内に輸液ポンプが物理的に存在しない限り、攻撃者による悪用は現実的でないかもしれない。しかし、医療機関における一般的なセキュリティと、患者の安全に対する潜在的なリスクとなる。特に脅威アクターが、ターゲットへの攻撃に特別なリソースを投入する動機がある状況において、リスクが高くなる」と付け加えている。
患者に薬剤や水分を投与するために使用される輸液ポンプの、ソフトウェアのセキュリティ欠陥が悪用されると、人命が危険にさらされる可能性があると、同社は警告している。特定された脆弱性の大半は、機密データの漏洩や不正アクセスに悪用される可能性がある。
機密情報の漏洩につながるバグは、輸液ポンプだけでなく、他の医療機器にも影響し、認証情報/業務情報/患者固有のデータなどに影響が生じる可能性があると、研究者たちは指摘している。
また、よく遭遇する問題として、脆弱性を含む可能性のあるサードパーティ・ライブラリに関するものがある。研究者たちは、たとえば CVE-2019-12255/CVE 2019-12264 は、Alaris Infusion Pumps の ENEA OS が使用する、IPNet TCP/IP スタックの深刻な脆弱性であると指摘している。
研究者たちは、輸液システムの異常な挙動について継続的に監視すれば、攻撃の可能性を容易に特定できると指摘している。具体的には、ネットワーク外から送られてくる大量のリセット・パケットや、ユーザーエージェント文字列に含まれる無効な値、HTTP による機密データの送信、工場出荷時の認証情報の使用、ネットワーク・トラフィックにおける異常なポート番号やカウントの存在などが挙げられる。
セキュリティ研究者たちは、「全体として、輸液システムで提起される一般的なセキュリティ警告の大半は、インターネット接続経由や、デフォルトのユーザー名/パスワードの使用など、デバイスの所有者が注意すべき攻撃の手段を示している」と、述べている。
輸液ポンプの中には、10年間という長期間にわたり使用されるものもあるため、デバイス/データ/患者のセキュリティを確保する医療機関は、すべての資産を識別して目録を作成し、脆弱性とコンプライアンスのギャップを積極的に探し出し、リスク低減ポリシーを適用し、環境内での検出および防止を強化する機能を、実装することが推奨される。
対象が輸液ポンプだけに、なにかあると大変なことになります。お隣のキュレーション・チームに聞いてみたところ、脆弱性 CVE-2016-9355 と CVE-2016-8375 は Alaris として、CVE-2019-12255 については Wind River の RTOS の問題として、レポートに拾っているとのことでした。なお、このところの医療関係の問題としては、2021年11月の「Philips Tasy EMR ヘルスケアに深刻な SQL インジェクションの脆弱性」と、「Tardigrade マルウェアの高自律性に注意:Covid-19 ワクチン製造ラインを狙っている」、そして、2022年1月の「英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている」などがあります。よろしければ、カテゴリ HealthCare も、ご参照ください。
IoT OT Security News 