Z-CERT waarschuwt voor kwetsbaarheden in medische apparaten

19.06.2020

Miljoenen apparaten over de hele wereld, waaronder medische apparaten bevatten kwetsbaarheden waardoor ze vatbaar zijn voor kwaadwillenden. In de software van medische apparaten van ondermeer Baxter, Braun en Rockwell, blijken kwetsbaarheden te zitten. Z-CERT heeft zorginstellingen in Nederland hierover op de hoogte gebracht.
 
Het gaat om een TCP/IP software library van het bedrijf Treck. Onderzoekers hebben hierin 19 kwetsbaarheden gevonden. Vier van deze kwetsbaarheden zijn ingeschaald als “kritisch” en bevatten onder andere 2 remote code executions met een CVSS-score hoger dan 9.   

Wat zorgelijk is, is dat deze library in miljoenen apparaten verspreid over allerlei industrieën en softwareproducten gebruikt wordt.  Ook medische apparaten zijn getroffen.  Er is op dit moment onder fabrikanten onzekerheid of de library ook in een van hun apparaten is gebruikt. Als deze fabrikant van een derde partij software heeft ingekocht voor zijn device, kan het zijn dat de library aanwezig is in dat softwareproduct, zonder dat dit bekend is bij de fabrikant. 
 
De onderzoekers die de kwetsbaarheid hebben gevonden zijn met verschillende leveranciers en fabrikanten in gesprek om te kijken naar de impact voor hun producten. Volgens de specialisten van Z-CERT is het wachten tot een werkende exploit code verschijnt.
Voor de medische apparaten zijn er meerdere leveranciers die aangegeven hebben dat ze gebruik maken van deze library. Naar verwachting zullen er de komende tijd meer leveranciers bijkomen.  JSOF stelt op haar website een aantal mitigerende maatregelen voor.