Une analyse des données provenant de plus de 200 000 pompes à perfusion connectées au réseau utilisées dans les hôpitaux et les établissements de santé a révélé que 75 % de ces dispositifs médicaux contiennent des failles de sécurité qui pourraient les exposer à un risque d’exploitation potentielle.

« Ces lacunes comprenaient l’exposition à une ou plusieurs des quelque 40 vulnérabilités de cybersécurité connues et/ou des alertes indiquant qu’ils avaient un ou plusieurs des quelque 70 autres types de lacunes de sécurité connues pour les appareils IoT », a déclaré Aveek Das, chercheur en sécurité de l’unité 42. mentionné dans un rapport publié mercredi.

L’équipe de renseignement sur les menaces de Palo Alto Networks a déclaré avoir obtenu les scans de sept fabricants de dispositifs médicaux. En plus de cela, 52,11 % de toutes les pompes à perfusion analysées étaient sensibles à deux vulnérabilités connues qui ont été divulguées en 2019 dans le cadre de 11 failles appelées collectivement « URGENT/11 » –

• CVE-2019-12255 (Score CVSS : 9,8) – Un défaut de débordement de tampon dans le composant TCP de Wind River VxWorks
• CVE-2019-12264 (Score CVSS : 7,1) – Un problème de contrôle d’accès incorrect dans le composant client DHCP de Wind River VxWorks

D’autres défauts importants affectant la pompe à perfusion sont énumérés ci-dessous –

• CVE-2016-9355 (Score CVSS : 5,3) – Un utilisateur non autorisé ayant un accès physique à une unité Alaris 8015 Point of Care peut être en mesure de démonter l’appareil pour accéder à la mémoire flash amovible, permettant un accès en lecture et en écriture à la mémoire de l’appareil
• CVE-2016-8375 (Score CVSS : 4,9) – Une erreur de gestion des identifiants dans les unités Alaris 8015 Point of Care qui pourrait être exploitée pour obtenir des identifiants d’authentification de réseau sans fil non cryptés et d’autres données techniques sensibles
• CVE-2020-25165 (Score CVSS : 7,5) – Une vulnérabilité d’authentification de session incorrecte dans les unités Alaris 8015 Point of Care qui pourrait être utilisée de manière abusive pour effectuer une attaque par déni de service sur les appareils
• CVE-2020-12040 (score CVSS : 9,8) – Transmission en clair d’informations sensibles dans le système de perfusion Sigma Spectrum
• CVE-2020-12047 (Score CVSS : 9,8) – Utilisation d’informations d’identification FTP codées en dur dans Baxter Spectrum WBM
• CVE-2020-12045 (Score CVSS : 9,8) – Utilisation d’informations d’identification Telnet codées en dur dans Baxter Spectrum WBM
• CVE-2020-12043 (Score CVSS : 9,8) – Le service FTP Baxter Spectrum WBM reste opérationnel après son heure d’expiration prévue jusqu’à ce qu’il soit redémarré
• CVE-2020-12041 (Score CVSS : 9,8) – Le module de batterie sans fil Baxter Spectrum (WBM) permet la transmission de données et les interfaces de ligne de commande via Telnet

L’exploitation réussie des vulnérabilités susmentionnées pourrait entraîner la fuite d’informations sensibles concernant les patients et permettre à un attaquant d’obtenir un accès non autorisé aux appareils, ce qui nécessite que les systèmes de santé soient protégés de manière proactive contre les menaces.

L’année dernière, McAfee a révélé des vulnérabilités de sécurité affectant la pompe à grand volume Infusomat Space et la SpaceStation de B. Braun qui pourraient être exploitées par des parties malveillantes pour altérer les doses de médicaments sans aucune authentification préalable.

La découverte « souligne la nécessité pour l’industrie de la santé de redoubler d’efforts pour se protéger contre les vulnérabilités connues, tout en suivant avec diligence les meilleures pratiques pour les pompes à perfusion et les réseaux hospitaliers », a déclaré Das.