Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

25/08/2021

Beveiligingslek in infuuspomp maakt aanpassen medicatiedosis mogelijk

Lees de originele artikel hier
Software Security

Onderzoekers hebben verschillende kwetsbaarheden in een infuuspomp van B. Braun ontdekt waardoor het mogelijk is voor een aanvaller om de medicatiedosis aan te passen. Het gaat in totaal om vijf beveiligingslekken die door onderzoekers van securitybedrijf McAfee werden ontdekt.

Zo wordt onder andere de authenticiteit van gegevens niet goed geverifieerd. Een aanvaller kan hierdoor malafide data naar de infuuspomp sturen die in plaats van de correcte data wordt gebruikt. Dit is mogelijk door het ontbreken van een digitale handtekening voor de belangrijke datasets. Verder blijkt dat het mogelijk is om gevaarlijke bestandstypes te uploaden en zo belangrijke bestanden te overschrijven.

De infuuspomp blijkt daarnaast gevoelige informatie onversleuteld te versturen en is het door een gebrek aan authenticatie mogelijk om de configuratie van het apparaat aan te passen. De vijfde kwetsbaarheid maakt het voor een ongeauthenticeerde aanvaller mogelijk om commandline-toegang tot de infuuspomp te krijgen. Om de aanvallen uit te kunnen voeren moet de aanvaller wel op hetzelfde netwerk als de infuuspomp zitten.

De impact van de kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 5,8 tot een 9,7. Fabrikant B. Braun heeft inmiddels updates uitgebracht. De onderzoekers stellen dat kwetsbare versies van de software nog steeds op grote schaal binnen ziekenhuizen worden gebruikt en daardoor risico op aanvallen lopen. Totdat organisaties de updates hebben geïnstalleerd wordt aangeraden de infuuspompen op eventuele aanvallen te monitoren.

Neem contact met ons op, Cert2Connect heeft de kennis en de middelen om uw organisatie te helpen dit soort gevaarlijke kwetsbaarheden, voor te zijn, op te sporen en te verhelpen!

 

Neem contact met ons op!
28/07/2021

VWS: 'Dit lek was met elke pentest gevonden'

Lees de originele artikel hier
Software Security

Het ministerie van VWS controleert niet met een eigen penetratietest (pentest) of de systemen van aanbieders van coronatests, die gekoppeld zijn met de Coronacheck-app, deugen. De verantwoordelijkheid voor die pentest ligt volledig bij de externe aanbieders. Dat vormt een flink risico voor de Coronacheck-app, dat de officiële verstrekker is van digitale testbewijzen. De procedure gaat mogelijk op de schop.

Bij een negatieve testuitslag stuurt een externe coronatestaanbieder deze naar de app van VWS die deze omzet in een qr-code waarmee iemand kan aantonen dat hij getest of gevaccineerd is en op reis kan of een evenement kan bezoeken. 

Afgelopen weekend meldde RTL Nieuws dat door een lek bij aanbieder Testcoronanu het mogelijk was om valse reis- en toegangsbewijzen in de app Coronacheck te krijgen. Ook waren de privégegevens van ruim 60.000 mensen die bij dat bedrijf een coronatest deden, gelekt.

Een verslaggever kon na het maken van een afspraak via twee regels code in de webbrowser toegang krijgen tot de database van de coronatestaanbieder. Door schrijfrechten kon hij een eigen negatieve test toevoegen. Die data werd via een koppeling met  de Coronacheck-app van de overheid omgezet in een officieel digitaal testbewijs. Het toonde aan hoe mensen die niet getest zijn aan een negatief testbewijs kunnen komen.

VWS heeft de koppeling tussen de systemen van de Coronacheck-app en coronatest-aanbieder Testcoronanu direct gestaakt nadat het lek bekend werd. 

Stappenplan

Volgens de woordvoerder van VWS zijn er rond de dertig commerciële aanbieders van coronatests aangesloten op de Coronacheck-app. Volgens hem gaat het in het geval van het datalek om een incident en zijn in de andere gekoppelde systemen geen kwetsbaarheden van die omvang aangetroffen. 'Dit lek was met elke pentest naar voren gekomen.’ Er wordt nu onderzocht of er en zo ja, hoe, de pentest heeft plaatsgevonden.

Om die aansluiting tot stand te krijgen, moeten die partijen allerlei procedures volgen en documentatie voorleggen. Zoals beveiligings- en privacy-eisen en een pentest.

Het aansluiten op de app van de rijksoverheid verloopt volgens een strikt stappenplan maar lijkt gezien het bekende beveiligingslek vooral een papieren tijger te zijn. In de lijst met antwoorden op veelgestelde vragen staat over de pentest dat de aanbieder verantwoordelijk is om kwetsbaarheden te beheersen (zie kader). Daarmee legt de overheid wel erg makkelijk de verantwoordelijkheid bij de andere partij, zeker in een tijd waarin steeds vaker wordt gewaarschuwd voor risico's in de keten van partners en toeleveranciers. 

 

Vertrouw niet blind op de verschillende rapporten en documenten welke de leveranciers van uw systemen u aanbieden. Controleer zelf! Cert2Connect biedt tal van oplossingen welke organisaties zelf in staat stellen om hun systemen te testen.

Neem contact op met onze experts
27/07/2021

Persoonsgegevens van 200.000 klanten gehengeld bij Hengelsportketen Raven

Lees de originele artikel hier
Software Security

De hengelsportketen bevestigt de diefstal van klantgegevens tegenover de nieuwssite. Het datalek ontstond door de overstap naar een nieuwe webshop vorig jaar november. Een database met klantgegevens van rond 2018 bleek daarbij voor iedereen op internet toegankelijk te zijn. In maart werd de database voor vierhonderd dollar te koop aangeboden op een forum waar criminelen in gestolen gegevens handelen.

Raven Hengelsport laat weten dat het naar aanleiding van het datalek het databasebestand van de eigen website heeft verwijderd, alsmede de Autoriteit Persoonsgegevens gewaarschuwd en klanten ingelicht.

Gegevens zullen waarschijnlijk ingezet worden voor Phishing ....

Wilt u er zeker van zijn dat de mazen in uw net dicht zijn? Neem contact op met onze experts

Neem contact op
Load more