Anzeige

Sicherheitsschwachstelle

Das Advanced Threat Research Team von McAfee Enterprise hat mehrere kritische Schwachstellen in den medizinischen Infusionspumpen von B. Braun entdeckt. Insbesondere sind laut den neuen Forschungsergebnissen die Infusomat Space Large Volume Pump und die SpaceStation von B. Braun betroffen.

Beide Geräte kommen in medizinischen Einrichtungen weltweit für Erwachsene und Kinder zum Einsatz, da sie als besonders sicher gelten und sich im Laufe der Zeit zur Hauptstütze für die effiziente und genaue Infusion von Medikamenten entwickelt haben. B. Braun ist einer der wichtigsten Marktteilnehmer in diesem Gebiet, was die potentiellen Auswirkungen von Schwachstellen dieser Art noch gravierender macht.

Der Bericht deckt auf, wie böswillige Akteure Schwachstellen ausnutzen könnten, um die Konfiguration einer Pumpe im Standby-Modus so zu ändern, dass bei der nächsten Verwendung eine unerwartete Medikamentendosis an Patienten abgegeben werden kann – ohne die Authentifizierung des medizinischen Fachpersonals.

Die wichtigsten Ergebnisse sind: 

Da das Betriebssystem der Pumpe nicht überprüft, wer Befehle oder Daten sendet ist so einem Angreifer die Durchführung von Remote-Netzwerkangriffen möglich. Die Medikamentenabgabe an Patienten kann drastisch erhöht werden, indem Angreifer mehrere 0-Day-Schwachstellen ausnutzen. Angreifer können bestimmte Konfigurationsoptionen ändern, um sich leichter Zugriff zu verschaffen, denn das proprietäre Protokoll für die PCS-Binärdatei ist nicht authentifiziert. Eine dieser Konfigurationsoptionen teilt der Pumpe mit, welcher Server „vertrauenswürdig" ist, um Betriebsdaten von ihm zu erhalten (beispielsweise die Medikamentenbibliothek). Ein Angreifer kann einen Befehl an SpaceCom senden, der die aktuelle Konfiguration des vertrauenswürdigen Servers löscht und sie auf einen vom Angreifer kontrollierten Server umschreibt.

SpaceCom nutzte außerdem einen Open Source Service mit einer Schwachstelle. Diese wurde von den Entwicklern zwar bereits in 2015 entdeckt und gepatcht, aber B. Braun integrierte das entsprechende Update nicht in ihre Software. Die Sicherheitsforscher konnten diese Schwachstelle ausnutzen, um Zugriff auf die Geräte zu erlangen. Medizinischen Einrichtungen wird empfohlen diese Bedrohungen aktiv und mit besonderer Aufmerksamkeit zu verfolgen, bis eine umfassende Suite von Patches erstellt und von den B. Braun-Kunden wirksam eingesetzt wird*.

Ransomware-Angriffe aus der Vergangenheit, die es auf das Gesundheitswesen abgesehen haben, beruhen auf Schwachstellen wie diesen. Deshalb ist eine kontinuierliche Sicherheitsforschung entscheidend, um potentielle Schwachstellen zu entdecken, bevor es überhaupt zum Angriff kommen kann.

 *Durch den laufenden Dialog mit B. Braun hat McAfee Enterprise ATR die Schwachstelle aufgedeckt und erfahren, dass die neueste Version der Pumpe den anfänglichen Netzwerkvektor der Angriffskette beseitigt.

www.pressebox.com / www.mcafee.de


Weitere Artikel

Home Office

80 Prozent wünschen sich im Home Office mehr Cybersicherheit

Acht von zehn Mitarbeitern beklagen mangelnde Hilfestellungen des Unternehmens für die Arbeit von Zuhause. Nach einer Studie des Sicherheitsunternehmens Kaspersky sind mobile Arbeitnehmer vielfach auf eigene Schutzvorkehrungen angewiesen.
Corona Smartphone

RKI: Verbesserung der Corona-Meldesoftware SurvNet erforderlich

Bei der von Gesundheitsämtern genutzten Software zur Meldung von Corona-Fällen sind nach Angaben des Robert Koch-Instituts (RKI) Verbesserungen erforderlich. Dabei geht es «neben der Behebung von aktuellen Problemen in der Software auch um Verbesserungen der…

Klarnamenpflicht: Facebook unterliegt am BGH

Facebook muss es nach einem Urteil des Bundesgerichtshofs (BGH) hinnehmen, dass seit langem angemeldete Nutzer Pseudonyme auf der Plattform gebrauchen. Eine Pflicht zur Verwendung des sogenannten Klarnamens sei unwirksam, entschied der dritte Zivilsenat am…
Data Privacy Day

Der Datenschutz in Europa

Anlässlich des Data Privacy Day am kommenden Freitag (28.01.2022), teilt John Smith, EMEA CTO bei Veracode, einige Gedanken zum Thema Datenschutz in Europa.
Facebook

Facebooks Gratis-Web "Free Basics" ist gar nicht gratis

Facebooks Plan, in Entwicklungsländern wie Indonesien, den Philippinen und Pakistan mit lokalen Mobilfunkanbietern zusammenzuarbeiten, um Menschen einen kostenlosen Internetzugang zu ermöglichen, ist offensichtlich nach hinten losgegangen. Laut Recherchen des…
SAP

SAP plant Übernahme von US-Fintech Taulia

Europas größter Softwarehersteller SAP will sein Geschäft im Finanzbereich mit einer Übernahme in den USA ausbauen. Mit dem Erwerb der Kontrollmehrheit an dem US-Fintech Taulia soll den SAP-Kunden ein besserer Zugang zu Liquidität ermöglicht werden, wie der…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.