Các lỗ hổng trong những sản phẩm theo dõi bệnh nhân của Philips
An toàn thông tin - Ngày đăng : 15:59, 21/09/2020
Theo cảnh báo của cơ quan an ninh hạ tầng và an ninh mạng (CISA), Mỹ, tổng cộng có 8 lỗ hổng được xếp ở mức độ nghiêm trọng thấp và trung bình đã được phát hiện. Tuy nhiên, những tin tặc có kỹ năng thấp cũng có thể khai thác được những lỗ hổng này.
CISA cho biết: "Việc khai thác thành công những lỗ hổng này có thể dẫn tới truy nhập trái phép, gây gián đoạn việc theo dõi bệnh nhân và tin tặc có thể thu thập thông truy nhập hoặc dữ liệu bệnh nhân".
Những lỗ hổng bảo mật được các nhà nghiên cứu ERNW (nhà cung cấp dịch vụ bảo mật CNTT độc lập tại Heidelberg, Đức) phát hiện.
Các lỗ hổng này ảnh hưởng đến những hệ thống theo dõi bệnh nhân IntelliVue Patient Monitor, phần mềm Patient Information Center iX (PIC iX) và PerformanceBridge Focal Point, cho phép những tính năng kích hoạt từ xa.
Cụ thể các lỗ hổng bao gồm: Lỗ hổng được phát hiện có những yếu tố tính toán trung hòa không đúng (CVE-2020-16214), lỗ hổng gây tấn công chèn mã (CVE-2020-16218), xác thực không đúng (CVE-2020-16222), kiểm tra không đúng việc thu hồi chứng thực (CVE-2020-16228), xử lý sai thông số độ dài (CVE-2020-16224), xác thực sai cú pháp đầu vào (CVE-2020-16220), xác thực đầu vào không đúng (CVE-2020-16216) và lộ lọt các tài nguyên vào không gian điều khiển bất hợp pháp (CVE-2020-16212).
Philips đã đưa ra khuyến nghị về những lỗ hổng này, xác nhận tin tặc trình độ thấp cũng có thể khai thác lỗ hổng. Công ty cũng giải thích rằng một tin tặc tìm cách khai thác các lỗ hổng phải "truy nhập vật lý vào các trạm giám sát và các máy theo dõi hoặc truy nhập tới mạng của thiết bị y tế".
Công ty lưu ý: "Không có khai thác công khai nào được phát hiện. Cho đến nay, Philips chưa nhận được bất kỳ báo cáo nào về việc khai thác hoặc các sự cố ở phòng bệnh có liên quan tới vấn đề này".
Philips hiện đang thực hiện các bản phát hành mới để xử lý lỗi: PIC iX sẽ được cập nhật vào cuối năm 2020, các phiên bản N.00 và N.01 sẽ cập nhật vào quý 1 năm 2021, PerformanceBridge Focal Point vào quý 2 năm 2021 và phiên bản IntelliVue M.04 vào cuối năm 2021. Cơ chế thu hồi chứng chỉ sẽ thực hiện vào năm 2023.
Philips cũng khuyến nghị thực hiện các bước giảm thiểu rủi ro như: Cô lập vật lý mạng theo dõi bệnh nhân của Philips khỏi mạng nội bộ của bệnh viện và sử dụng các biện pháp bảo mật thích hợp để hạn chế quyền truy nhập tới mạng giám sát bệnh nhân; Đảm bảo các dịch vụ đăng ký giao thức (simple certificate enrollment protocol - SCEP) đơn giản chỉ chạy khi cần thiết để đăng ký các dịch vụ mới; Sử dụng mật khẩu dài và mang tính duy nhất khi đăng ký các thiết bị mới bằng (SCEP)
Hơn nữa, các nỗ lực đăng nhập trái phép vào ứng dụng PIC iX phải được ngăn chặn thông qua các biện pháp giám sát bảo mật vật lý (máy chủ nên được giữ trong các trung tâm dữ liệu đã được khóa), chỉ cấp quyền truy nhập từ xa tới các máy chủ PIC iX; quyền đăng nhập tới màn hình ở đầu giường bệnh nhân và ứng dụng PIC iX chỉ cấp dựa trên vai trò, ít đặc quyền nhất và chỉ cho phép những người dùng tin cậy.