Door Anoniem: Ik maak hieruit op dat de pompen geen dedicated verbinding hebben. Een ongedeelde verbinding is namelijk voor kwetsbare voorzieningen – kritische infrastructuur – een logisch begin voor veilige ziekenhuizen.
Waarom maak je dat op ?
Ze hebben gewoon zitten testen tegen een stel infuuspompen, omdat dat veel lekkerder opgepakt wordt als Groot Probleem dan een chinese webcam.
Feit is gewoon dat al dat soort embedded spul helemaal niet geschikt is om direct aan een vijandige omgeving te hangen .
Ik maak niet meteen op _dat_ die dingen in een ziekenhuis meteen aan het “gasten wifi voor bezoekers en patienten” netwerk hangen .
Jep en zie daar het gevaar van als men niet snapt wat er werkelijk gezegd wordt in rapportages.
Men ziet 9,8 van 10 dus dat moet wel goed mis zijn.
Kijk je verder naar de vector strings voorbeeld die van STACK-BASED BUFFER OVERFLOW CWE-121 en ziet dat er netwerk verbinding nodig is voor exploiting en bedenkt dat het geen apparaten zijn die ingeplugd zitten op het internet en het zeer onwaarschijnlijk is dat een aanvaller fysiek op de locatie komt en zowaard daalt het risico ineens van 9.8 naar een 6.1
Dan vervolgens bekijk je de mitigation die al beschikbaar is en dat er patches zijn en je kunt de temporal score aanpassen met Official fix (O) En er is geen Proof of Concept opgenomen in de report dus die moet op unknown en de temporal daalt ook naar een 5.1
Zou je dit dan bespreken met je Security consultant dan kom je al gauw op een Accepted Risk (AR) schatting en inplannen voor patch tijdens regulier onderhoud van de hardware om later tot een Resolved status te komen bij een herscan waar waarschijnlijk dan al weer tig andere lekken gevonden zijn.
Of denkt enig iemand hier echt dat men bij het zien van dit rapport ala minuut alle infuuspompen beschikbaar stelt voor nood patching op een centrale werkplaats? Zou een leuke afdeling overleg worden ik zie de gezichten nu al voor me.
Ik maak me pas zorgen als op mijn bureau geen boekwerk aan security risks ligt voor audit omdat ik dan zeker weet dat de analisten dan hun werk niet goed gedaan hebben en we te maken hebben met verhoogd risico op unknowns.
Bron: Security.nl