پژوهشگران هشدار دادهاند که وجود آسیبپذیری در یک خط از پمپهای تزریق پزشکی که در سطح جهانی مورد استفاده قرار میگیرند، امکان دسترسی از راه دور را برای مهاجمان فراهم میکند.
این نقصهای امنیتی در یکی از تجهیزات پزشکی ساخت کمپانی Becton Dickenson به نام Alaris Gateway Workstation یا AGW (وسیلهای که جهت تواندهی، نظارت و کنترل پمپهای تزریق استفاده میشود و عموماً در اتاقهای بستری بیمارستانها و ICUهای سراسر اروپا و آسیا مورد استفاده قرار می گیرد) شناسایی شد. این دستگاه بهطور خودکار و در بازه زمانی مشخصی، دارو را در بدن بیمار پخش میکند. پمپهای تزریقی میتوانند انسولین، مُسکن یا سایر داروهای پزشکی را در دوزهای متناوب یا مداوم به بیمار تزریق کنند.
پژوهشگران در موسسه امنیت مراقبتهای بهداشتی CyberMDX دریافتند که تعدادی از نسخههای وصله نشده AGW در برابر حمله از راه دور آسیبپذیر هستند، و در بدترین حالت، مهاجمان قادر خواهند بود از طریق این آسیبپذیری، دوز داروهای ورودی به بدن بیماران را تغییر بدهند.
اولین آسیبپذیری با شناسه CVE-2019-10959 مربوط به بارگذاری نامحدود پرونده به همراه یک باگ خطرناک است، که توسط تیم پاسخگویی اضطراری سیستمهای کنترل صنعتی سایبری (US ICS-CERT) تایید شده و بالاترین میزان آسیب رسانی، یعنی ۱۰.۰ را به خود اختصاص داده است.
این نقص امنیتی به هکر اجازه میدهد که نسخههای خطرناک سفتافزاری را روی کامپیوتر دستگاه نصب کند.
اشکال نرمافزاری دوم در رابط کاربری مرورگر وب وجود دارد و میتواند به یک مهاجم اجازه دسترسی به وضعیت و پیکربندی دستگاه از طریق شبکه بیمارستان را بدهد.
این آسیبپذیری با شناسه CVE-2019-10962 مربوط به یک باگ کنترل دسترسی نامناسب است و شدت آن ۷.۳ برآورد شده است.