(ข่าวเก่า) พบช่องโหว่ในเครื่องควบคุมการให้สารละลายทางหลอดเลือด (infusion pump) สามารถถูกโจมตีและควบคุมได้จากระยะไกล
นักวิจัยด้านความปลอดภัยอิสระ Scott Gayou ได้เปิดเผยการค้นพบ 8 ช่องโหว่ด้านความปลอดภัยในอุปกรณ์ควบคุมการให้สายละลายทางหลอดเลือดของ Medfusion รุ่น 4000 ผลิตโดย Smiths Medical ซึ่งช่องโหว่ที่ร้ายแรงที่สุดนั้นอาจทำให้ผู้โจมตีสามารถควบคุมการทำงานของอุปกรณ์ได้ หมายถึงผู้โจมตีอาจควบคุมปริมาณยาหรือสารละลายที่ให้แก่ผู้ป่วยได้
หนึ่งใน 8 ช่องโหว่นั้นคือช่องโหว่ CVE-2017-12725 ซึ่งมีคะแนน CVSS ทั้งหมด 9.8 (เต็ม 10) โดยเกิดขึ้นหากผู้ใช้อุปกรณ์ไม่ได้มีการเปลี่ยนแปลงรหัสผ่านที่ถูกตั้งมาเป็นค่าเริ่มต้น ทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์แบบไร้สายได้ด้วยรหัสผ่านเริ่มต้นดังกล่าว นอกเหนือจากนั้นอุปกรณ์ยังมีช่องโหว่ buffer overlow (CVE-2017-12718) ที่ทำให้ผู้โจมตีสามารถโจมตีด้วยวิธีการ remote code execution ด้วย
ช่องโหว่ทั้งหมดส่งผลกระทบกับเฟิร์มแวร์ของอุปกรณ์ในรุ่น 1.1, 1.5 และ 1.6 โดยทาง Smiths Medical มีการประกาศว่าเฟิร์มแวร์รุ่นใหม่ (1.6.1) ซึ่งแก้ปัญหาด้านความปลอดภัยทั้งหมดแล้ว จะถูกปล่อยออกมาในเดือนมกราคม 2018 นี้
ที่มา : The Hacker News