Обнаружены новые уязвимости в подключенных к интернету инфузоматах от Baxter

Исследователи из Rapid7 обнаружили четыре уязвимости в инфузоматах Sigma Spectrum и сообщили о них Baxter в апреле 2022 года.

Инфузионный насос или инфузомат — универсальное устройство, предназначенное для длительного, дозированного, контролируемого введения растворов, высокоактивных лекарственных препаратов, питательных веществ пациенту.

Уязвимости затрагивают следующие инфузионные системы Sigma Spectrum:

• Sigma Spectrum v6.x модель 35700BAX;

• Sigma Spectrum v8.x модель 35700BAX2;

• Baxter Spectrum IQ (v9.x) модель 35700BAX3;

• Sigma Spectrum LVP v6.x v16 с беспроводными модулями v16D38, v17, v17D19, v20D29 - v20D32 и v22D24 - v22D28;

• Sigma Spectrum LVP v8.x с беспроводными модулями v17, v17D19, v20D29 - v20D32 и v22D24 - v22D28;

• Baxter Spectrum IQ LVP (v9.x) с беспроводными модулями v22D19 - v22D28.

Список обнаруженных уязвимостей:

• CVE-2022-26390 (имеет оценку 4.2 из 10 по шкале CVSS) – связана с хранением сетевых учетных данных и медицинской информации пациента (PHI) в незашифрованном виде.

• CVE-2022-26392 (имеет оценку 2.1 из 10 по шкале CVSS) – уязвимость форматной строки, возникающая во время работы сеанса Telnet;

• CVE-2022-26393 (имеет оценку 5.0 из 10 по шкале CVSS) – уязвимость форматной строки, возникающая во время обработки Wi-Fi SSID;

• CVE-2022-26394 (имеет оценку 5.5 из 10 по шкале CVSS) – возникает из-за отсутствия отсутствие взаимной аутентификации с узлом сервера шлюза.

Если хакер сумеет успешно эксплуатировать вышеописанные уязвимости, то сможет вызвать отказ в обслуживании, а имея физический доступ к устройству, злоумышленник способен украсить конфиденциальную информацию или осуществить MitM-атаку.

В своем сообщении Baxter подчеркнула, что уязвимости представляют угрозу только тех клиентов, которые используют беспроводные модули системы Sigma Spectrum и предупредила, что уязвимости могут привести к различным нарушениям работы беспроводного модуля или утечке данных, которые хранятся на нем.