Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Medical

Medical

Pompa infus Alaris milik BD ditandai karena adanya kerentanan keamanan siber

by

Unit pompa infus Alaris BD telah menjadi subjek pemberitahuan penarikan di bawah keputusan persetujuan yang diubah dengan FDA. Penasihat Medis ICS yang dikeluarkan oleh DHS pada hari Kamis tidak terkait dengan masalah tersebut. Sebaliknya, pemberitahuan tersebut berkaitan dengan kerentanan sesi jaringan yang memengaruhi proses otentikasi antara versi tertentu dari Unit PC Alaris dan Manajer Sistem.

Penyerang dengan akses ke jaringan yang terkait dengan perangkat BD yang terpengaruh dapat mengeksploitasi kerentanan untuk membuat sesi jaringan langsung antara Alaris PC Unit dan Manajer Sistem, asalkan mereka dapat mengarahkan permintaan otentikasi dan menyelesaikan jabat tangan otentikasi, sejenis pemeriksaan identitas.

Eksploitasi yang berhasil memungkinkan serangan DoS yang menyebabkan penurunan fungsi nirkabel Unit PC. Pengguna kemudian perlu mengoperasikan Unit PC secara manual tetapi akan terus berfungsi seperti yang diprogram.

Mungkin tidak ada pengguna yang akan menghadapi masalah tersebut. BD belum menerima laporan serangan dunia nyata dan telah mengatasi kerentanan di lebih dari 60% penginstalan Manajer Sistem melalui peningkatan server normalnya. Sebuah patch untuk perangkat lunak Unit PC direncanakan. Untuk sementara, BD menyarankan pengguna untuk mempertimbangkan mitigasi termasuk penggunaan firewall dan penonaktifan protokol dan layanan akun yang tidak perlu.

Garda Nasional untuk Membantu Jaringan Kesehatan Vermont Setelah Serangan Cyber

by

Gubernur Vermont telah memanggil Garda Nasional untuk membantu Jaringan Kesehatan Universitas Vermont menanggapi serangan dunia maya yang serius. Enam rumah sakit di Jaringan Kesehatan UVM mengalami masalah jaringan yang signifikan menyusul serangan yang melanda sepekan dari tanggal 25 Oktober.
Dampak serangan terhadap layanan bervariasi di berbagai organisasi afiliasi jaringan. Pemadaman listrik di sejumlah sistem sedang dialami di University of Vermont Medical Center di Burlington, di mana beberapa prosedur elektif yang tidak mendesak telah dijadwalkan ulang. Staf tidak dapat mengakses jadwal janji temu dan beberapa atau semua informasi pasien. Studi tidur telah dibatalkan dan pemindaian radiologi rawat jalan ditunda.

Di Vermont, pasien yang mengunjungi Medical Center Porter di Middlebury atau Medical Center Central Vermont di Berlin telah diperingatkan untuk mengharapkan waktu tunggu yang lebih lama. Selain itu, komunikasi elektronik antara Home Health & Hospice di Colchester dan Medical Center UVM telah terganggu oleh pemadaman listrik.
Di New York, portal pasien rumah sakit untuk Medical Center Alice Hyde di Malone saat ini terputus dan komunikasi elektronik antara Medical Center UVM dan Rumah Sakit Komunitas Elizabethtown terputus.

Kemarin, Gubernur Vermont Phil Scott mengerahkan Tim Respons Maya Gabungan Garda Nasional Vermont untuk membantu tim TI Jaringan Kesehatan UVM dalam meninjau ribuan komputer dan perangkat pengguna akhir. Sementara “kemajuan yang stabil” sedang dilakukan untuk pemulihan total, Jaringan Kesehatan UVM tidak dapat mengatakan dengan pasti kapan semua sistem akan dipulihkan. Data pasien tampaknya tidak terungkap oleh insiden keamanan.

sumber : Infosecurity Magazine

FDA Menyetujui Penggunaan Alat Baru untuk Penilaian Kerentanan Alat Kesehatan

by

Administrasi Makanan dan Obat-obatan AS (FDA) minggu ini mengumumkan bahwa mereka telah menyetujui penggunaan rubrik baru yang dirancang khusus oleh MITER Corporation untuk menetapkan skor CVSS ke kerentanan yang ditemukan di perangkat medis.

Sistem Penilaian Kerentanan Umum (CVSS) pada awalnya dirancang untuk menyampaikan tingkat keparahan kerentanan yang ditemukan dalam sistem TI, dan mungkin tidak begitu relevan di beberapa area, seperti sistem kontrol industri (ICS) atau perangkat medis.

Program MDDT memungkinkan rumah sakit untuk memenuhi syarat alat yang dapat digunakan dalam pengembangan dan evaluasi alat kesehatan. Agar alat memenuhi syarat, alat tersebut harus dievaluasi oleh FDA, yang harus setuju bahwa alat tersebut “menghasilkan pengukuran yang masuk akal secara ilmiah dan berfungsi sebagaimana dimaksud dalam konteks penggunaan yang ditentukan”.

FDA percaya bahwa menggunakan rubrik MITRE untuk menerapkan CVSS ke perangkat medis, bersama dengan CVSS v3.0, “memungkinkan kerangka kerja umum untuk evaluasi risiko dan komunikasi antara semua pihak yang terlibat dalam pengungkapan kerentanan keamanan, terutama saat membahas tingkat keparahan dan urgensinya.”

Persetujuan FDA atas alat tersebut berarti “bahwa vendor dapat mengkomunikasikan pengukuran dari rubrik tentang perangkat mereka dengan FDA untuk penilaian keamanan dan risiko pra-pasar,” Elad Luz, kepala penelitian di perusahaan keamanan siber perawatan kesehatan yang berbasis di New York, CyberMDX, mengatakan kepada SecurityWeek .

CyberMDX telah mengidentifikasi lebih dari sepuluh kerentanan pada perangkat medis selama setahun terakhir dan telah melihat secara langsung betapa menyesatkannya CVSS jika tidak diadaptasi. Misalnya, kerentanan yang ditemukan tahun lalu di beberapa perangkat anestesi rumah sakit GE Healthcare diberi skor CVSS hanya 5,3 tetapi, seperti yang diakui vendor itu sendiri, eksploitasi cacat tersebut menimbulkan risiko langsung bagi pasien, yang membuatnya sangat serius.

“[Kerentanan] tidak dinilai sebagai tingkat keparahan tinggi karena Anda tidak dapat mengeksekusi kode jarak jauh (RCE), atau mengakses informasi dari jarak jauh, hanya mengubah fungsi tertentu yang terbatas dari jarak jauh,” jelas Luz. “Masalahnya adalah – saat Anda melihat aspek medisnya – fungsi jarak jauh yang diubah itu mungkin merupakan hal yang paling parah untuk dikompromikan pada perangkat ini, jadi ini harus diungkapkan kepada siapa pun yang melakukan penilaian risiko untuk itu.”

Luz mengatakan rubrik baru membahas masalah ini dan masalah lainnya. Pakar mengatakan pedoman baru ini jelas dan mudah digunakan, dengan contoh dunia nyata diambil dari perangkat medis yang digunakan di seluruh dunia.