Automatisierte Medikamenten-Verteiler mit über 1400 Sicherheitslücken
Veraltete SupplyStation-Systeme sind nach wie vor in Krankenhäusern im Einsatz und haben tausende Sicherheitslücken. Das ICS-CERT in den USA warnt deswegen vor dem Sicherheitsrisiko durch diese Medikamenten-Verteiler.
(Bild: Carefusion / BD)
- Fabian A. Scherschel
Das Industriesteuerungs-CERT der US-Regierung warnt vor einem automatischen Medikamenten-Verteilsystem der Firma Carefusion, einer Tochter von BD Medical Supplies. Die Pyxis SupplyStation läuft auf Windows XP und Server 2003, Betriebssysteme, die von Microsoft nicht mehr unterstützt werden. Sicherheitsforscher haben nun sage und schreibe 1418 Sicherheitslücken in den Systemen gefunden. Viele davon seien äußerst einfach auszunutzen, auch aus der Ferne. 715 der Lücken haben einen CVSS-Wert von 7.0 bis 10.0 und haben somit hohe Priorität oder gelten gar als kritisch.
SupplyStation-Systeme bestehen typischerweise aus mehreren Hard- und Software-Komponenten. Die Sicherheitslücken verteilen sich unter anderem auf Windows XP, Sybase SQL Anywhere, zwei Symantec-Programme und Crystal Reports von SAP. Betroffen sind SupplyStation-Systeme der Versionen 8.x und 9.x, die von Carefusion nicht mehr unterstützt werden. Obwohl diese Systeme als obsolet gelten, sind offensichtlich immer noch genug davon im Einsatz, um eine Warnung des ICS-CERT zu rechtfertigen.
Carefusion empfiehlt betroffenen Kunden, auf neuere Systeme umzusteigen, was allerdings zum Teil mit erheblichen Kosten verbunden ist. Falls das nicht möglich ist, empfiehlt das CERT, solche Systeme vom Netz zu trennen beziehungsweise Zugriffe aus der Ferne nur über VPN-Verbindungen zu erlauben. Falls eine SupplyStation kompromittiert wird, lässt sich die Automatik abschalten und die Geräte können im Failsafe-Modus manuell mit herkömmlichen Schlüsseln benutzt werden. (fab)
