Эксперты обнаружили почти 1,5 тыс. уязвимостей в медицинском оборудовании

Эксперты приобрели списанную автоматическую систему выдачи лекарств CareFusion Pyxis Supply Station (версия 8.1.3), работающей под управлением Windows XP, и подвергли ее тщательному исследованию. Результат оказался действительно впечатляющим - в системе было обнаружено 1418 уязвимостей (все можно эксплуатировать удаленно).

Из общего количества ошибок 715 уязвимостей имеют уровень опасности, превышающий 7 баллов по шкале CVSS (common vulnerability scoring system). 606 уязвимостей получили рейтинг опасности от 4.0 до 6.9 баллов, 97 уязвимостей - от 0 до 3.9 балла.

Согласно предупреждению ICS-CERT, для эксплуатации ошибок не требуется особых технических навыков, т. е. система выдачи лекарств может быть дистанционно атакована и взята под контроль практически любым злоумышленником.

Система CareFusion Pyxis Supply Station имеет несколько версий операционной системы. Уязвимыми являются редакции 8.0, 8.1.3 2003, а также 9.0 - 9.3 2003. Pyxis SupplyStation 9.3, 9.4 и 10.0 под управлением Server 2008/Server 2012/Windows 7, вышеуказанным проблемам не подвержены.