Cyberthreat.id - Cybersecurity and Infrastructure Security Agency (CISA) menerbitkan peringatan keamanan yang terdapat dalam alat monitoring pasien yang diproduksi oleh raksasa elektronik Philips. Ditemukan delapan kerentanan yang teridentifikasi dengan tingkat keparahan menengah dan rendah. Jika dieksploitasi dapat memberikan penyerang akses tidak sah ke data pasien (kebocoran data).

"Eksploitasi kerentanan ini dapat mengakibatkan akses yang tidak sah, pemantauan (pasien) terputus, serta pengumpulan informasi dan data pasien," demikian keterangan CISA dilansir Security Week, Rabu (16 September 2020).

Awalnya kerentanan ini diidentifikasi oleh para peneliti yang bekerjasama dengan ERNW dalam proyek yang yang diawasi Kantor Federal Jerman untuk Keamanan Informasi (BSI). Para peneliti menemukan kerentanan pada sistem Monitor Pasien IntelliVue, perangkat lunak Patient Information Center iX (PIC iX), dan PerformanceBridge Focal Point, yang dapat dikendalikan dari jarak jauh.

Kerentanan yang ditemukan diklasifikasikan sebagai berikut:

1. Netralisasi elemen formula yang tidak tepat dalam file CSV sebagai CVE-2020-16214

2. Cross-site scripting (XXS) sebagai CVE-2020-16218

3. Otentikasi yang tidak tepat sebagai CVE-2020-16222

4. Pemeriksaan sertifikat yang tidak tepat revocation sebagai CVE-2020-16228

5. Penanganan inkonsistensi parameter panjang yang tidak tepat sebagai CVE-2020-16224

6. Validasi kebenaran sintaksis input yang tidak tepat sebagai CVE-2020-16220

7. Validasi input yang tidak tepat sebagai CVE-2020-16216

8. Eksposur sumber daya ke bidang kontrol yang salah sebagai CVE-2020-16212

IntelliVue Mobile Caregiver

---

Philips telah menerbitkan peringatan terkait kerentanan keamanan ini. Disebutkan bahwa penyerang dengan tingkat keterampilan rendah bisa mengeksploitasinya. Tetapi, Philips juga menjelaskan bahwa penyerang yang ingin mengeksploitasi kerentanan ini memerlukan akses fisik ke monitor pasien dan akses ke jaringan perangkat medis.

"Tidak ada eksploitasi publik terkait masalah ini. Sampai sekarang Philips belum menerima laporan apa pun tentang eksploitasi masalah ini atau insiden dari penggunaan klinis yang dapat kami kaitkan dengan masalah ini," demikian keterangan resmi perusahaan.

Philips sedang mengerjakan tambalan baru untuk memperbaiki masalah PIC iX yang akan diperbarui pada akhir tahun 2020; IntelliVue versi N.00 dan N.01 pada Q1 tahun 2021; PerformanceBridge Focal Point pada Q2 tahun 2021; dan IntelliVue versi M.04 pada akhir 2021; serta mekanisme pencabutan sertifikat akan diterapkan pada 2023.

Philips juga menerbitkan rekomendasi langkah-langkah mitigasi berupa:

1. Secara fisik mengisolasi jaringan pemantauan pasien Philips dari jaringan area lokal (LAN) rumah sakit dan menggunakan langkah-langkah keamanan yang sesuai untuk membatasi akses ke jaringan pemantauan pasien.

2. Memastikan layanan protokol pendaftaran sertifikat (SCEP) hanya berjalan saat diperlukan untuk mendaftarkan perangkat baru.

3. Menggunakan password yang sulit dan unik saat mendaftarkan perangkat baru menggunakan SCEP.

4. Mencegah upaya login tidak sah ke aplikasi PIC iX harus dicegah melalui kontrol keamanan fisik (server harus disimpan di data center yang terkunci).

5. Akses jarak jauh ke server PIC iX harus diberikan ke pihak yang berhak saja.

6. Akses masuk ke monitor samping tempat tidur dan aplikasi PIC iX hanya boleh diberikan berdasarkan peran dan hanya untuk pengguna terpercaya. []

Redaktur: Arif Rahman