フィリップスカーディオグラフデバイス。絶対医療機器
フィリップスは、ハイエンドで効率的なPageWriterCardiographデバイスの製造で知られています。攻撃者がデバイスの設定を変更して診断に影響を与える可能性のあるデバイスのサイバーセキュリティの脆弱性が最近発見された後、フィリップスはICS-CERTで次のように述べています。 アドバイザリー 2019年の夏まで、これらの脆弱性を調査するつもりはありません。
Philips PageWriter Cardiographデバイスは、身体に取り付けられたセンサーを介して信号を取り込み、このデータを使用してECGパターンと図を作成し、医師が診断を完了するために参照できるようにします。行われた測定値と描かれたグラフの整合性を確保するために、このプロセス自体に干渉があってはなりませんが、マニピュレータはこのデータに手動で影響を与えることができるようです。
脆弱性は、フィリップスのPageWriterモデルTC10、TC20、TC30、TC50、およびTC70に存在します。脆弱性は、入力情報を手動で入力してインターフェースにハードコードすることができ、デバイスのシステムが入力されたデータを検証または除外しないため、不適切な入力が発生する可能性があるという事実から発生します。これは、デバイスからの結果がユーザーが手動で入力したものと直接相関していることを意味し、不適切で非効率的な診断を可能にします。データのサニタイズの欠如は、バッファオーバーフローとフォーマット文字列の脆弱性の可能性に直接寄与します。
このデータエラーの悪用の可能性に加えて、データをインターフェイスにハードコーディングする機能は、資格情報のハードコーディングにも役立ちます。つまり、デバイスのパスワードを知っていて、デバイスを物理的に手元に置いている攻撃者は、デバイスの設定を変更して、デバイスを使用して不適切な診断を行う可能性があります。
来年の夏までこれらの脆弱性を調査しないという会社の決定にもかかわらず、公開されたアドバイザリはこれらの脆弱性を軽減するためのいくつかのアドバイスを提供しました。このための主なガイドラインは、デバイスの物理的なセキュリティを中心に展開しています。悪意のある攻撃者がデバイスに物理的にアクセスしたり操作したりできないようにすることです。これに加えて、クリニックは、システムでコンポーネント保護を開始し、デバイスでアクセスできるものを制限および規制することをお勧めします。
