In de medische infuussystemen van de Amerikaanse fabrikant Hospira is weer een ernstige kwetsbaarheid ontdekt waardoor een aanvaller in het ergste geval op afstand willekeurige code kan uitvoeren. In het verleden zijn er vaker kwetsbaarheden in de infuussystemen van Hospira gevonden.

De systemen worden gebruikt voor het toedienen van medicijnen. Via de kwetsbaarheden was het mogelijk voor een aanvaller om alle infuussystemen in een ziekenhuis volledig over te nemen, om vervolgens de verstrekte dosis aan te passen of ze te saboteren zodat ze stopten met werken. Of dat in het geval van de nu ontdekte kwetsbaarheid ook mogelijk is, is onduidelijk. Het gaat om een buffer overflow. In theorie zou een aanvaller hierdoor willekeurige code op de apparatuur kunnen uitvoeren, maar dit is niet door de onderzoeker die het probleem ontdekte gedemonstreerd.

Toch meldt het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid dat dit een mogelijkheid is, om zo zorgaanbieders en ziekenhuizen voor het mogelijke risico te waarschuwen. De kwetsbaarheid, die volgens het ICS-CERT weinig kennis vereist om te misbruiken, bevindt zich in verschillende medische infuussystemen van Hospira die voor juli 2009 zijn geproduceerd.

Ziekenhuizen en zorgaanbieders die een kwetsbare versie gebruiken krijgen het advies om met Hospira contact op te nemen om de mogelijke opties te bespreken. Het ICS-CERT geeft daarbij een aantal technische oplossingen, zoals het dichtzetten van tcp-poort 5000, het isoleren van medische systemen van het internet en het monitoren van al het verkeer naar de kwetsbare producten. De producten van Hospira worden wereldwijd door ziekenhuizen gebruikt. Of ze ook bij Nederlandse ziekenhuizen in gebruik zijn is onbekend.