Уязвимость в программе для электроэнцефалографов позволяет украсть данные пациентов

Исследовательская группа Cisco Talos обнаружила уязвимости в медицинском программном обеспечении NeuroWorks. Они позволяют удаленно запустить вредоносный код и спровоцировать сбой в работе оборудования.

Уязвимости медицинского оборудования

Программа NeuroWorks установлена на электроэнцефалографы (ЭЭГ) фирмы Natus — устройства для обследования головного мозга пациентов. Они подключены к базам данных пациентов через Ethernet-соединение, поэтому хакеры способны украсть конфиденциальные данные и устроить более масштабные атаки на больничные сети.

Уязвимости TALOS-2017-0355, TALOS-2017-0373, TALOS-2017-0374 и TALOS-2017-0375 связаны с переполнением буфера и предоставляют злоумышленникам контроль над оборудованием. Ошибка TALOS-2017-0365 позволяет организовать отказ в доступе и остановить работу медицинских устройств.

Компания Natus выпустила патч Neuroworks 8.5 GMA2, но эксперты в области безопасности считают, что тысячи больниц не установят обновления вовремя. Такие случаи нередки: например, в 2015 году управление по санитарному надзору FDA запретило использовать уязвимые системы для внутривенного вливания Hospira Symbiq, но они эксплуатируются до сих пор.

Специалисты по кибербезопасности уделяют защите медицинских учреждений большое внимание, потому что атаки могут помешать лечению пациентов. В 2016 году несколько больниц стали жертвами вымогателя, спрятанного в макросах Microsoft Word.