Експерти з безпеки з ISC-CERT попередили про низку небезпечних вразливостей в бездротових інфузійних насосах Smiths Medical Medfusion 4000, що дозволяють хакерам отримати віддалений доступ до пристрою і керувати його роботою. Устаткування Smiths Medical використовується в медустановах по всьому світу для подачі невеликих доз ліків в неонатальної інтенсивної терапії, педіатрії та під час операцій.

Деякі з вразливостей, виявлених дослідником Скоттом Гаю (Scott Gayou), мають високий ступінь небезпеки. Віддалений зловмисник може з легкістю отримати несанкціонований доступ до пристрою і вплинути на роботу насоса. Незважаючи на сегментований дизайн, атакуючий може скомпрометувати комунікаційний і терапевтичний модулі пристрою.

Найбільш небезпечна уразливість (CVE-2017-12725) пов'язана з використанням вшитих облікових даних для автоматичного бездротового підключення. Крім вищезгаданої проблеми, був виявлений ряд інших небезпечних вразливостей, зокрема вразливість переповнення буфера (CVE-2017-12718), яка дозволяє віддалено виконати код на цільовому пристрої при певних умовах. Також дослідники виявили відсутність механізму аутентифікації (CVE-2017-12720), наявність незмінних облікових даних (CVE-2017-12724) для FTP-сервера пристрою і відсутність належної перевірки сертифікатів (CVE-2017-12721), що дозволяє здійснити атаку «людина посередині ».

Дані уразливості зачіпають пристрої Medfusion 4000 Wireless Syringe Infusion Pump v. 1, 1. 5 і 1. Smiths Medical випустить виправлену версію прошивки 1. 1 в січні 2018 року.

Уразливості в медичному обладнанні є серйозним приводом для занепокоєння. У серпні 2017 року Управління з санітарного нагляду за якістю харчових продуктів і медикаментів США (FDA) відкликало 465 тис. вразливих кардіостимуляторів виробництва компанії Abbot (раніше відомої як St. Jude Medical).