بیش از ۱۴۰۰ آسیب‌پذیری اصلاح نشده در سامانه‌های پزشکی وجود دارند

بر اساس توضیه‌نامه‌ای که به وسیله تیم واکنش اضطراری سایبری سامانه‌ای کنترل صنعتی آمریکا (ICS-CERT) روز سه‌شنبه انتشار یافته است، بیش از ۱۴۰۰ آسیب‌پذیری اصلاح نشده در سامانه‌های پزشکی وجود دارد.
این مشکلات در ایستگاه‌های خدمات Pyxis وجود دارد، که یک سامانه خودکار تأمین محصولات پزشکی است و به وسیله ClareFusion ساخته شده است. این سامانه‌ها، در نصب امکانات پرستاری در سراسر بخش‌های مراقبت پزشکی معمول بوده و برای توزیع مواد پزشکی و ردگیری استفاده‌ی به موقع آن‌ها استفاده می‌شود.
دو پژوهش‌گر امنیتیِ مستقل بیلی ریوس (Billy Rios) و مایک احمدی (Mike Ahmadi) این آسیب‌پذیری‌ها را بعد از به دست آوردن یکی از این ایستگاه‌های عرضه از طریق یک شرکت ثالث که می‌خواست سامانه‌ای از رده خارج را بفروشد کشف کردند. بعد از اطمینان از سامانه، این دو نفر از یک ابزار تحلیل نرم‌افزاری ترکیبی خودکار برای تحلیل دودویی ایستا در برابر ثابت‌افزار استخراج شده از آن، جهت پیدا کردن حفره‌ها استفاده کردند.
آسیب‌پذیری‌ها به طور خاص در نسخه‌های قدیمی‌تر از این سامانه‌ها موجود بودند از نسخه ۸ تا ۹.۳ که روی سامانه عامل Microsoft Server ۲۰۰۳/xp کار می‌کردند. این پژوهشگران گفتند که ۱۴۱۸ آسیب‌پذیری مختلف تنها در نسخه ۸.۱.۳ موجود بود، نسخه‌ای که از سال ۲۰۱۰ تا کنون به‌روز‌رسانی نشده است. این حفره‌ها به هفت بسته نرم‌افزاری از سازنده‌های شخص ثالث و ۸۶ پرونده مربوط بوده است.
محققان می‌گویند که در میان ابزارهای خارج از رده نمونه‌های بسیار زیاد دیگری می‌توان یافت.
احمدی در وبلاگ خود نوشت: «مهم است اشاره کنیم که این مشکلات در بسته‌های ثالثی وجود دارند که ما در چند سال گذشت در مورد آن‌ها بسیار صحبت کرده‌ایم. ۹۰ درصد از نرم‌افزارهایی که امروز در حال توسعه هستند در زمره نرم‌افزارهای ثالث تلقی می‌شوند.»
از آنجایی که ClareFusion این نسخه‌های آسیب‌پذیر را خارج از رده معرفی کرده است، بنابراین هیچ برنامه‌ای برای ارائه اصلاحیه برای آن‌ها در دست نیست، اما هنوز برای کسانی که از آن‌ها استفاده می‌کنند توصیه‌هایی برای کاهش خطرات ارائه می‌شود. این شرکت از کاربران می‌خواهد تا سامانه‌های خود را از اینترنت قطع کنند اما اگر آن‌ها به شبکه اینترنت متصل هستند، شدیداً توصیه می‌شود که از طریق حلقه‌ای از VPN اتصال پیدا کرده و شبکه را برای فعالیت‌های مشکوک نظارت کنند و هر نوع درگاهی را که استفاده نمی‌شود، مسدود کنند.
ریوس حفره‌هایی را در سامانه یافته است که از جمله آن‌ها حفره‌ای است که در سال ۲۰۱۴ به مهاجم اجازه می‌داد تا از راه دور با به خطر انداختن سامانه، منابع را از این اتاقک حذف کند. این وضعیت به این شکل برقرار بود تا اینکه شرکت Becton Dickinson که یک شرکت سازنده دستگاه‌های پزشکی مستقر در نیوجرسی است، شرکت ClareFusion را خرید و از آن به بعد این شرکت در برابر رفع نقاط آسیب‌پذیری مسئولیت بیشتری به خرج می‌دهد.
ریوس می‌گوید : «من تعدادی از مشکلات پیش آمده را که بر محصولات Clsrefusion‌ در این چند سال اثر منفی می‌گذاشت گزارش داده‌ام و کشش بسیار کمی از جانب آن‌ها دیده‌ام. اما از زمانی که آن‌ها توسط شرکت BD‌ خریداری شده‌اند، پاسخ آن‌ها فوق‌العاده بوده است».
بر اساس گفته‌های احمدی، راب سوارز که مسئول امنیت محصولات شرکت BD است آسیب‌پذیری‌های موجودی را که یافته شده است، انکار نمی‌کند. احمدی اذعان می‌کند که همکاری کلید موفقیت است و سوارز حتی پیشنهاد کرده است که همه سامانه‌های در خطر در متن توصیه‌نامه لحاظ شوند.
بر خلاف متن توصیه‌نامه‌ی سال ۲۰۱۴، این سازنده همه این آسیب‌پذیری‌ها را در متن منتشر شده در این هفته تأیید کرد است.
ریوس می‌گوید: «متن توصیه‌نامه اول هیچگونه تجزیه و تحلیلی در بر نداشت و به نظر می‌رسید که Carefusion این مشکلات را کم اهمیت جلوه می‌دهد. اما مشاوره دوم همه نسخه‌ها را به همراه تأییدیه آن‌ها از سوی BD منتشر کرده است که قدمی بزرگی در این زمینه به شما می‌رود.»
تنها چند سال پیش بود که ریوس به شناسایی نقص مهمی در پمپ‌های تولید شده توسط شرکت Hospira‌ کمک کرد. این تحقیق در نهایت از سازمان غذا و دارو می‌خواهد تا هشداری را منتشر کرده و از شرکت‌ها بخواهد تا به سمت سامانه‌های تزریق جایگزین حرکت کنند و استفاده از سامانه‌هایی را که اولین بار در اطلاعیه امنیت سایبری در مورد خطرات آن‌ها هشدار داده شده بود، متوقف کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap