Respiratory (wentylatory medyczne) oraz powiązane z nimi komputery serwisowe (Service PC) nie posiadają wystarczających możliwości rejestrowania zdarzeń audytowych, co uniemożliwia wykrycie złośliwej aktywności. Podatność jest oceniana jako krytyczna (CVSS 10.0) ze względu na brak jakichkolwiek barier wykrywania nieautoryzowanych działań na urządzeniach podtrzymujących życie.
▸ Pokaż oryginał (EN)
The ventilator and the Service PC lack sufficient audit logging capabilities to allow for detection of malicious activity and subsequent forensic examination. An attacker with access to the ventilator and/or the Service PC could, without detection, make unauthorized changes to ventilator settings that result in unauthorized disclosure of information and/or have unintended impacts on device performance.
Ze względu na niewystarczający mechanizm audit logging (CWE-778), atakujący z dostępem fizycznym lub logicznym do respiratora bądź Service PC może dokonywać nieautoryzowanych zmian w ustawieniach urządzenia bez pozostawiania śladów w dziennikach systemowych. Brak odpowiednich logów uniemożliwia zarówno wykrycie incydentu w czasie rzeczywistym, jak i przeprowadzenie analizy powłamaniowej (forensic examination) po fakcie. Atakujący może tym samym działać przez długi czas bez świadomości personelu medycznego czy administratorów IT.
Atakujący może dokonać nieautoryzowanych zmian w parametrach pracy respiratora, co może prowadzić do nieuprawnionego ujawnienia danych (np. danych pacjenta) oraz niezamierzonych wpływów na działanie urządzenia medycznego, potencjalnie zagrażając życiu pacjenta.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.cisa.gov/news-events/ics-medical-advisories/icsma-24-319-01). Dodatkowo zaleca się ograniczenie fizycznego i logicznego dostępu do respiratorów oraz Service PC wyłącznie do autoryzowanego personelu, a także wdrożenie kompensujących mechanizmów monitorowania na poziomie sieci lub otoczenia urządzenia.
Respiratory medyczne (wentylatory) oraz powiązane komputery serwisowe (Service PC) — szczegółowe informacje o konkretnych modelach i wersjach wskazane są w referencjach producenta (ICSMA-24-319-01).
Podatność dotyczy urządzeń medycznych klasy ICS (Industrial Control Systems – Medical). Poradnik bezpieczeństwa został opublikowany przez CISA jako ICSMA-24-319-01. Ze względu na krytyczny charakter środowiska (urządzenia podtrzymujące życie), ryzyko dla bezpieczeństwa pacjentów jest szczególnie wysokie mimo braku potwierdzenia aktywnego wykorzystania podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H