Bug que mata: hackers podem invadir bombas de infusão médica

Bug que mata: hackers podem invadir bombas de infusão médica
Bug que mata: hackers podem invadir bombas de infusão médica

Os hackers parecem não ter limites, até mesmo quando falamos de preservação de vidas humanas. Por isso, todo cuidado é pouco com o avanço tecnológico que chega à área da Medicina e ajuda a salvar cada vez mais vidas em todo o planeta. No entanto, dados coletados de mais de 200.000 bombas de infusão médica conectadas à rede usadas para fornecer medicamentos e fluidos aos pacientes mostram que 75% delas estão funcionando com problemas de segurança. Esses problemas são bem conhecidos e são um prato cheio para possíveis invasores. Sendo assim, hackers podem invadir bombas de infusão médica.

As descobertas revelam que dezenas de milhares de dispositivos são vulneráveis a seis falhas de gravidade crítica (9,8 de 10) relatadas em 2019 e 2020.

Bug que mata: hackers podem invadir bombas de infusão médica. São problemas antigos e críticos que persistem

Usando dados coletados de clientes, pesquisadores da Palo Alto Networks analisaram o estado de segurança de mais de 200.000 bombas de infusão e descobriram que entre 30.000 e pelo menos 100.000 delas são vulneráveis a problemas críticos de segurança.

A falha de gravidade crítica mais prevalente encontrada é CVE-2019-12255. Trata-se de um bug de corrupção de memória no sistema operacional em tempo real (RTOS) VxWorks usado para dispositivos incorporados, incluindo sistemas de bomba de infusão.

Segundo dados da Palo Alto Networks, a falha está presente em 52% das bombas de infusão analisadas, o que se traduz em mais de 104 mil aparelhos.

O CVE-2019-12255 faz parte de um conjunto de 11 vulnerabilidades conhecidas como ‘URGENT/11’ descobertas e relatadas em 2019 por pesquisadores da Armis, empresa que fornece segurança para dispositivos conectados.

Wind River, que mantém o VxWorks RTOS, abordou todos os problemas URGENT/11 em patches disponíveis desde 19 de julho de 2019. No entanto, grandes atrasos na aplicação de atualizações ou na não instalação são problemas bem conhecidos no cenário de dispositivos incorporados.

O restante dos cinco bugs de gravidade crítica afetam produtos da empresa americana de assistência médica Baxter International e foram relatados em junho de 2020.

CVEGravidade
(Pontuação)
% de bombas analisadas com CVEs
CVE-2020-120409.8 (Crítico)17,83%
CVE-2020-120479.8 (Crítico)15,23%
CVE-2020-120459.8 (Crítico)15,23%
CVE-2020-120439.8 (Crítico)15,23%
CVE-2020-120419.8 (Crítico)15,23%

Facilidades para ataques

De acordo com o boletim de segurança da Baxter na época, explorar a maioria deles é possível se o atacante já estiver na rede, o que está longe de ser incomum.

Os bugs vão desde a transmissão de dados em texto simples sem autenticação até credenciais codificadas e permissões incorretas que permitem o acesso a dados confidenciais ou a alteração da configuração de rede do Módulo de bateria sem fio.

Nenhum patch está disponível para essas vulnerabilidades, mas a Baxter forneceu um conjunto de mitigações (por exemplo, segmentação, monitoramento) projetado para reduzir o risco de explorá-las e recomendou a mudança para o sistema Spectrum IQ Infusion mais recente que não é afetado pelos problemas acima. Um comunicado da CISA observou que um invasor pouco qualificado poderia explorá-los.

Em um post hoje, a Palo Alto Networks recomenda que os provedores de serviços de saúde adotem uma estratégia de segurança proativa para manter os dispositivos protegidos contra ameaças conhecidas e desconhecidas, que começa com um inventário preciso de todos os sistemas na rede.

Os pesquisadores observam que nem todas as vulnerabilidades que afetam atualmente as bombas de infusão analisadas são práticas para ataques remotos, mas são um “risco para a segurança geral das organizações de saúde e a segurança dos pacientes”.

Via BleepingComputer