Internet-of-things mengubah setiap industri menjadi industri komputer, membuat pelanggan berpikir bahwa hidup mereka akan jauh lebih mudah dengan perangkat cerdas. Namun, perangkat semacam itu berpotensi diretas oleh hacker. Tentu saja ada beberapa alasan bagus untuk menghubungkan perangkat tertentu ke Internet. Tapi apakah semuanya perlu dihubungkan? Tentu saja tidak, terutama bila menyangkut perangkat medis.
Sekarang, dikabarkan bahwa terdapat kerentanan dalam pompa infus suntik yang digunakan dalam perawatan, yang mana dapat diakses secara remote dan dimanipulasi oleh peretas untuk mempengaruhi operasi perangkat yang dimaksud, ICS-CERT memperingatkan dalam sebuah advisory yang dikeluarkan pada hari Kamis.
Seorang peneliti keamanan independen telah menemukan tidak hanya satu atau dua, tapi delapan kerentanan keamanan di Medfusion 4000 Wireless Syringe Infusion Pump, yang diproduksi oleh pembuat perangkat medis khusus yang berbasis di Minnesota, Smiths Medical.
Perangkat ini digunakan di seluruh dunia untuk mengirimkan obat dosis kecil dalam perawatan kritis akut, seperti perawatan intensif neonatal dan pediatrik dan ruang operasi.
Beberapa kerentanan yang ditemukan oleh Scott Gayou sangat parah sehingga mudah dieksploitasi oleh penyerang untuk “mendapatkan akses yang tidak sah dan mempengaruhi operasi pompa yang dimaksud.”
Kerentanan yang paling kritis (CVE-2017-12725) telah diberi skor CVSS 9,8 dan terkait dengan penggunaan username dan password untuk secara otomatis membuat koneksi nirkabel jika konfigurasi default tidak berubah.
Kerentanan tingkat keparahannya meliputi:
- Bug buffer overflow (CVE-2017-12718) yang bisa dieksploitasi untuk remote code execution pada perangkat target dalam kondisi tertentu.
- Kurangnya otentikasi (CVE-2017-12720) jika pompa dikonfigurasi untuk memungkinkan koneksi FTP.
- Kehadiran kredensial hard-code (CVE-2017-12724) untuk server FTP pompa.
- Kurangnya validasi sertifikat yang tepat (CVE-2017-12721), membuat pompa rentan terhadap serangan man-in-the-middle (MitM).
Sisanya adalah kerentanan tingkat menengah yang dapat dimanfaatkan oleh penyerang untuk merusak modul komunikasi dan operasional perangkat, mengotentikasi ke telnet dengan menggunakan source code yang sulit, dan mendapatkan password dari file konfigurasi.
Kerentanan ini mempengaruhi perangkat yang menjalankan versi 1.1, 1.5 dan 1.6 dari firmware, dan Smiths Medical telah merencanakan untuk merilis versi produk baru 1.6.1 pada bulan Januari 2018 untuk mengatasi masalah ini.
Namun, sementara itu, organisasi perawatan kesehatan direkomendasikan untuk menerapkan beberapa tindakan defensif termasuk menetapkan alamat IP statis ke pompa, memantau aktivitas berbahaya di jaringan untuk server, memasang pompa di jaringan yang terisolasi, membuat password yang kuat, dan secara teratur membuat backup sampai patch dikeluarkan.
