Nucleus RTOS

Продукт
Разработчики: Siemens AG (Сименс АГ)
Отрасли: Фармацевтика, медицина, здравоохранение

2021: Власти США: Из-за дыр в ПО Siemens миллионы устройств для анестезии можно взломать удаленно

В середине ноября 2021 года исследователи Forescout Research Labs при поддержке Medigate Labs обнаружили набор из 13 уязвимостей, влияющих на программное обеспечение Siemens Nucleus RTOS, которое часто используется в медучреждениях. Данные уязвимости по шкале риска имеют рейтинг от умеренной 5,3 до критической 9,8 балов. Это может привести к отказу в обслуживании медицинской техники, утечке информации или же к удаленному подключению к системе и ее перенастройки.

Среди медицинских устройств, которые могут быть затронуты, анестезиологические аппараты, аппараты искусственной вентиляции легких и мониторы для пациентов. Исследователи Forescout Research Labs использовали различные методы для оценки количества устройств, затронутых уязвимостью, известной под общим названием Nucleus:13 и обнаружили доказательства использования программного обеспечения (ПО) в дефибрилляторах Zoll, ультразвуковых аппаратах Zonare, наркозном аппарате GE Healthcare, а также в прикроватном мониторе Nihon Kohden.

Власти США: Из-за дыр в ПО Siemens миллионы устройств для анестезии можно взломать удаленно

Представитель Siemens Healthineers заявил, что компания продолжает отслеживать проблему по мере ее развития и может уведомить клиентов, если это будет необходимо, через онлайн-портал Siemens Healthineers teamplay Fleet. Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) хочет, чтобы все производители оценили свою подверженность этим уязвимостям в ПО от Siemens, которое было первоначально выпущено в 1993 году.

Оценка, проведенная Forescout, выявила более 2,2 тыс. медицинских устройств, уязвимых в системе кибербезопасности. Число затронутых устройств более чем в два раза превышает число устройств в любой другой отрасли. Во всех отраслях исследователи выявили около 5,5 устройств от 16 производителей у 127 клиентов. Агентство по кибербезопасности и защите инфраструктуры США (CISA) советует пользователям принять защитные меры, чтобы снизить риск использования уязвимостей, и обновить уязвимые устройства, как только появятся обновления.

Наиболее серьезные уязвимости, описанные в Nucleus:13, позволяют злоумышленнику осуществить атаку по типу, отказ в обслуживании, или же выполнить удаленное выполнение кода, а его эксплуатация позволяет дистанционно запустить вредоносный код в рамках целевой системы по локальной сети или через интернет. Это все потенциальные последствия для безопасности большого количества пациентов, которые исторически заставляют регулирующие органы вмешиваться. Хорошей стороной является то, что большинство классов этих медицинских устройств, затронутых уязвимостями, обычно либо не объединены в сеть, либо экранированы и изолированы в собственных сегментах сети, что не позволяет провести массовую атаку на медицинские устройства.[1]

Примечания