Een beheerplatform voor defibrillators bevat een kritieke kwetsbaarheid waardoor aanvallers het op afstand kunnen overnemen. Daarvoor waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Via het Defibrillator Dashboard van fabrikant Zoll kunnen zorgverleners en -instanties defibrillators op afstand monitoren. "Het slechtste moment om erachter te komen dat een defibrillator niet gebruiksklaar is, is als u hem nodig hebt. Defibrillator Dashboard bespaart tijd en zorgt bovendien dat uw defibrillatoren altijd klaar zijn voor gebruik", aldus Zoll op de productpagina.

Het dashboard bevat echter zes kwetsbaarheden. Zo blijkt de software gebruik te maken van een hardcoded encryptiesleutel waardoor een aanvaller toegang tot gevoelige informatie kan krijgen. Daarnaast worden wachtwoorden in plaintext opgeslagen en kan een standaardgebruiker beheerder worden.

De gevaarlijkste kwetsbaarheid, aangeduid als CVE-2021-27489, bevindt zich in de webapplicatie van het dashboard. Door dit beveiligingslek kan een aanvaller een kwaadaardig bestand uploaden dat het uitvoeren van willekeurige commando's mogelijk maakt. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 met een 9,9 beoordeeld.

Volgens het CISA kan een aanvaller via de beveiligingslekken op afstand code uitvoeren en de vertrouwelijkheid, integriteit en beschikbaarheid van de applicatie in gevaar brengen. Zoll adviseert organisaties om te updaten naar Defibrillator Dashboard versie 2.2 of nieuwer en het gebruik van de password autocomplete functie in de browser, bij het inloggen op het dasboard, uit te schakelen.