'300 soorten medische apparaten zijn kwetsbaar dankzij een hardcoded wachtwoord'
Ongeveer 300 verschillende soorten chirurgische en verdovingsapparaten, ventilatoren, infuuspompen, externe defibrillatoren, patiëntmonitoren en zowel laboratoria- als analyseapparatuur blijkt een hardcoded wachtwoord. ICS-CERT waarschuwt dat de hardcoded wachtwoorden kunnen worden misbruikt door cybercriminelen, waardoor zij kritieke instellingen kunnen veranderen of zelfs de firmware kunnen aanpassen.
De Amerikaanse Food and Drug Administration (FDA) bevestigt de ontdekking. Zowel ICS-CERT als de FDA benadrukken geen indicaties te hebben dat de kwetsbaarheid op dit moment al worden misbruikt om aanvallen uit te voeren. Het is niet bekend gemaakt om welke specifieke apparaten het gaat en van welke fabrikant deze zijn. Beide organisaties hebben de fabrikanten van de medische apparatuur die is voorzien van een hardcoded wachtwoord op de hoogte gesteld van de ontdekking. De fabrikanten zijn gevraagd de kwetsbaarheid te bevestigen en een oplossing voor het probleem te vinden.
Advies voor ziekenhuizen
ICS-CERT en de FDA verzoeken ziekenhuizen met klem in de tussentijd de veiligheid van hun systemen te evalueren en ongeautoriseerde toegang tot hun netwerk en medische apparatuur die hiermee verbonden is te voorkomen. De organisaties vragen ziekenhuizen daarom hun netwerkactiviteit nauwlettend te monitoren op signalen van ongeautoriseerd gebruik en individuele netwerkcomponenten beschermen door zowel routine als periodieke controles. Om adequaat te kunnen reageren op een eventuele aanval verzoeken de organisaties ziekenhuis daarnaast strategieën ontwikkelen die zeker stellen dat de kritieke functies van de getroffen apparatuur beschikbaar blijft.