Agilia Connect (инфузионная система)

Продукт
Разработчики: Fresenius Kabi
Отрасли: Фармацевтика, медицина, здравоохранение

2021: Правительство США предупредило о легком взломе инфузионных систем Fresenius

В середине декабря 2021 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило о возможности легкого взлома инфузионных систем Agilia Connect от Fresenius Kabi.

Инфузионная система Agilia Connect была признана агентством в качестве устройства, которое легко подвержено хакерской атаке. Успешное использование уязвимостей системы может позволить злоумышленнику получить доступ к конфиденциальной информации, изменить настройки или параметры системы, а также выполнить произвольные действия в качестве аутентифицированного пользователя.

Правительство США предупредило о легком взломе инфузионных систем Agilia Connect от Fresenius

К уязвимостям, выделенным CISA, относятся:

  • неконтролируемое потребление ресурсов;
  • использование сломанного или опасного криптографического алгоритма;
  • недостаточно защищенные учетные данные;
  • неправильный контроль доступа;
  • хранение пароля в открытом виде;
  • файлы или директории доступны для внешних сторон;
  • раскрытие информации через список каталогов;
  • межсайтовый скриптинг.

Затронутые продукты включают модуль Agilia Connect WiFi для насосов vD25 и ранее выпущенных версий: Agilia Link + V3.0 D15, Vigilant Software Suite v1.0: Vigilant Centerium, Vigilant MasterMed и Vigilant Insight, а также программное обеспечение для обслуживания Agilia Partner версии 3.3.0.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.8 т

Компания также определила, что первые устройства Link + (примерно 1200 единиц) потребуют замены оборудования для поддержки прошивки D16 (новая версия) или более поздней версии. По словам Фрезениуса Каби, пока эти устройства не будут заменены, компания должна следовать рекомендациям CISA. Агентство рекомендует Fresenius Kab свести к минимуму уязвимость сети для всех устройств и / или систем управления и убедиться, что они недоступны из Интернета. При необходимости удаленного доступа к устройствам агентство рекомендует использовать безопасные методы, такие как виртуальные частные сети (VPN), удостоверившись также и в их безопасности.[1]

Примечания