1400 уязвимостей на одну систему выдачи лекарств

Исследователи Билли Райос и Майк Ахмади задались целью продемонстрировать, что одна из главных причин резко возросшего числа успешных кибератак на медицинские учреждения – устаревшее ПО. Для этого они приобрели списанную одной из больниц автоматическую систему выдачи лекарств CareFusion Pyxis Supply Station и подвергли ее тщательнейшему анализу.

Разумеется, исследователи предполагали, что система окажется уязвимой, однако результат шокировал даже их самих. Райос и Ахмади обнаружили в CareFusion Pyxis Supply Station свыше 1400 уязвимостей. Причем половина из них имеет уровень опасности более 7 по десятибалльной шкале CVSS (common vulnerability scoring system). Это означает, что система выдачи лекарств может быть дистанционно атакована и взята под контроль практически любым хакером, которому только взбредет в голову это сделать.

CareFusion Pyxis Supply Station имеет несколько версий операционной системы. И версии 8.0, 8.1.3 2003, а также с 9.0 до 9.3 2003 работают на базе давно уже устаревшей и не получающей обновлений безопасности Windows XP. Тем не менее, автоматическая система выдачи лекарств чрезвычайно ценится медиками за свою простоту и надежность и до сих пор очень широко используется во многих лечебных учреждениях по всему миру.