Genel Bilgi: Roche şirketinin tanı belirleme amaçlı kullanılan el tıbbi cihazları, hastalara sağlık durumlarını izlemek için bir dizi kolaylık sağlar. Hastaların yaşamını kolaylaştırmak için, Roche çeşitli tıbbi teşhis cihazları üretmiştir. Bu cihazlar, Kan glikozunu kontrol etmek, antikoagülasyonu test etmek veya kalp atışı düzensizliklerini izlemek görevlerini gerçeklestirir. Ancak, son zamanlarda bazı Roche cihazlarının bir bilgisayar korsanı tarafından istismar edilebilecek birçok güvenlik açığına sahip olduğu farkedilmiştir.
Roche şirketine bağlı tıbbi cihazların güvenliğini sağlamaya yönelik bir şirket olan Medigate'deki araştırmacılar, Roche'un üç tip ürününde beş zayıflık tespit ettiler. Bu türler “Accu-Chek Inform II, CoaguChek Pro II / XS Plus / XS Pro, cobas h 232 POC” olup, cihazlar ise tam olarak glikoz test cihazlarını, antikoagülasyon tedavisinde sağlık uzmanları tarafından kullanılan CoaguChek cihazlarından ve Cobas taşınabilir bakım noktası sistemlerinden ibarettir.
ICS-CERT (Endüstriyel Kontrol Sistemleri Siber Olaylara Müdahale Ekibi), Roche tarafından üretilen Point of Care el medikal cihazlarındaki beş farklı zafiyetin, Roche bakım el tıbbi cihazlarını etkilediğinden söz etmektedir. Bu zayıflıklar orta ve yüksek şiddet derecelerine sahip olup, CVSS baz puanları 6.5 ile 8.3 arasında değişmektedir. Biri orta risk iken, dört zayıflık yüksek risk olarak kabul edilmiştir. İstenirse, bir saldırgan bu açıklıkları kullanarak sistem yapılandırmalarını değiştirmek, gelişmiş bir ara yüze kimlik doğrulamasını atlatmak, belirli tıbbi protokolleri kullanarak aygıt üzerinde kod çalıştırmak ve dosya sistemine rasgele dosyalar yerleştirmek işlemlerini çok kolay bir şekilde gerçekleştirebilir.
Etki:
CVE-2018-18564: Yanlış erişim kontrolleri ile ilgilidir. Bitişik bir ağdaki bir bilgisayar korsanı, özel olarak oluşturulmuş bir mesaj aracılığıyla savunmasız bir cihaz üzerinde rastgele kod çalıştırabilir. Güvenlik açığı yüksek bir şiddet sınıflandırması ve 8.3 CVSS v3 temel derecesine sahiptir.
CVE-2018-18565: Başka bir uygunsuz erişim denetimi güvenlik açığıdır. Yetkisiz bir kişi, güvenlik açığından bitişik bir ağdan yararlanabilir ve enstrümantasyon ayarlarını değiştirebilir. Güvenlik açığı, yüksek bir şiddet sınıflandırması ve 8.2 CVSS v3 baz derecesine sahip olmuştur.
CVE-2018-18562: Bir hizmet ara yüzünde, yetkisiz bir kullanıcının, bitişik bir ağdaki işletim sistemlerinde rasgele komutlar çalıştırmasına izin verecek güvensiz izinlerle ilgilidir. Güvenlik açığı, yüksek bir şiddet sınıflandırması ve 8.0 CVSS v3 temel derecesine sahiptir.
CVE-2018-18563: Bir bilgisayar korsanı tarafından istismar edildiyse, özel olarak oluşturulmuş bir güncelleme paketini kullanarak sistem dosyalarının üzerine yazılmasına izin verebileceği yazılım programı güncelleme mekanizmasındaki bir güvenlik açığıdır. Güvenlik açığı, yüksek bir şiddet sınıflandırması ve 8.0 CVSS v3 temel derecesine sahiptir.
CVE-2018-18561: Yanlış bir kimlik doğrulama güvenlik açığıdır. Bitişik bir ağa erişimi olan bir kişi, bir servis ara yüzü aracılığıyla hassas bir cihaza servis erişimi sağlayabilir. Güvenlik açığı orta şiddet sınıflaması ve 6.5 CVSS v3 temel derecesine sahiptir.
Bu güvenlik açıklarının başarılı bir şekilde kullanılması, bir saldırganın sistem ayarlarını değiştirmek veya keyfi kod yürütmek için yetkisiz erişim elde etmesine izin verebilir.
ICS-CERT yaptığı açıklamada “Komut yürütme kusurlarından biri kimlik doğrulaması gerektirir, etkilenen ürünlerin zayıf erişim kimlik bilgilerini kullandığını gösterir; bu da saldırganın sistemde kimlik doğrulaması yapmasının kolay olabileceğini gösterir” açıklamasını yaparken, bir güvenlik şirketi olan Medigate tarafından ise güvenlik açıklarının, etkilenen cihazları kullanan hastalar için bir tehdit oluşturabileceğinden söz edilirken “Bu güvenlik açıkları, üretilen tüm ağ trafiği de dahil olmak üzere ana istasyonun ve elde tutulan cihazın tam kontrolüne izin veriyor. Bu, cihazın kullandığı tıbbi protokolün değiştirilebileceği ve tıbbi verilerin değiştirilebileceği anlamına gelir. Bir kan şekeri ölçüm cihazı durumunda, bu bir hastayı riske atabilir. Cihaz değiştiyse, yanlış tedaviye neden olabilecek okumaları veya veri transferini etkileyebilir” açıklamasını yaptı.
Çözüm önerileri: Bir güvenlik şirketi olan Medigate'den bir araştırmacı, Niv Yehezkel in Tespit ettiği beş güvenlik açığının Roche'a bildiriminden sonra Roche, güvenlik açıklarının istismar riskini en aza indirmek için hafifletme prosedürlerini önerdiğini söylemeliyiz. Bu prosedürlerde; Taşınabilir cihazlara fiziksel ve ağ erişiminin sınırlanması ve güvenlik özelliklerinin etkinleştirilmesi, güvenlik açığı olan cihazların emniyete alınması, yetkisiz kişilerin erişiminin engellenmesi, hırsızlığa ve kötü amaçlı yazılımlara karşı koruma sağlanması, ağın şüpheli etkinlik için izlenmesi önerilmiştir. Şimdilik ürünlerin satıcıları tarafından hiçbir yazılım düzeltmesi mevcut değilse de yine de Roch tarafından yayınlanan bu prosedürlerin mevcut kusurları en aza indirmek için yapılan stratejik bir manevra olduğunu söylemek pek te zor değildir.
Ulusal Siber Güvenlik ve İletişim Entegrasyon Merkezi (NCCIC), de çözüm önerisi olarak, kullanıcıların ağa maruz kalmamak için cihazlara ve sistemlere internet erişimini sınırlamalarını ve uzak cihazları ve yerel sistem ağlarını güvenli hale getirmek için güvenlik duvarları kullanmayı da önermektedir.
Savunmasız ürünlerin ve versiyonların ayrıntılı bir listesi ICS-CERT tarafından yakın zamanda yayınlanan bir danışma belgesinde mevcuttur. Her bir güvenlik açığının Roche cihazlarının belirli modellerini ve versiyonlarını etkilediğini belirtmek gerekir.