Clean Medical |
Pesquisadores da CyberMDX, uma empresa de segurança de saúde, identificaram duas vulnerabilidades diferentes em Becton Dickinson Alaris gateway Workstations ( AGW ) utilizados pelos hospitais em bombas de infusão médicas. Um dos bugs é tão grave que leva uma classificação crítica de 10 na escala de gravidade CVSS v.3.
O outro bug é comparativamente menos grave e é encontrado na interface de gerenciamento baseada na Web da estação de trabalho.
As estações de trabalho acima mencionadas são fabricadas pelo popular fabricante de dispositivos médicos Becton Dickinson. Essas falhas podem ser aproveitadas por um invasor remotamente e sem necessidade de qualquer autenticação para obter controle total da bomba de infusão.
Os bugs são o resultado de uma falha (rastreada como CVE-2019-10959 ) no código de firmware do dispositivo e explorando essas falhas, um invasor pode facilmente seqüestrar o dispositivo para desativá-lo completamente, instalar firmware ou malware não autorizado e relatar informações falsas. Também é possível que o invasor se comunique diretamente com as bombas ligadas ao gateway para manipular as dosagens de drogas e até mesmo alterar as taxas de infusão, sendo ambos cenários drásticos.
Vale a pena notar que nenhum privilégio especial seria necessário pelo invasor para executar essas tarefas. Assim, sem muita demora, o atacante pode brincar com a vida dos pacientes, evitando o tratamento que salva vidas.
Essa exploração pode ser realizada por qualquer pessoa que tenha acesso à rede interna do hospital. Os arquivos transferidos através da atualização são copiados diretamente para a memória interna e autorizados a substituir os arquivos existentes, disseram os pesquisadores.
As estações de trabalho Alaris Gateway podem alimentar, monitorar e controlar o uso médico de bombas de infusão. Esses dispositivos são usados em UTIs e enfermarias de hospitais para dispensar drogas planejadas automaticamente a um paciente. Essas bombas são usadas para fornecer uma variedade de medicamentos que exigem dosagem contínua, como insulina e analgésicos.
Na maioria dos casos, várias bombas de infusão conectadas a um único portal médico estão em uso pelo paciente em tratamento para tomar diferentes drogas. AGW é basicamente usado para se comunicar com as bombas de infusão, bem como para alimentá-los durante procedimentos médicos críticos, como transfusão de sangue, quimioterapia, administração de anestesia e diálise.
O fato não pode ser ignorado de que as bombas de infusão estão entre os kits mais usados em um hospital e sua vulnerabilidade pode causar problemas extremos para os pacientes. Essas bombas são usadas para dispensar medicamentos que salvam vidas e fluidos intravenosos, e quaisquer alterações não autorizadas podem levar a resultados potencialmente fatais.
Além disso, geralmente, essas bombas são conectadas a uma única estação central de monitoramento, de onde a equipe médica em questão pode verificar a administração de medicamentos e fluidos em vários pacientes simultaneamente.
As falhas foram testadas independentemente e validadas pela CyberMDX, pelo Departamento de Segurança Interna dos EUA (DHS) e pelo fornecedor. Os pesquisadores do CyberMDX avaliaram a gravidade do risco e o declararam na forma de pontuações do Common Vulnerability Scoring System (CVSS) de base.
A vulnerabilidade de firmware do Alaris Gateway teve uma pontuação de risco CVSS de 10,0, o que significa que é muito crítico. A interface do usuário do navegador da Web da falha do AGW tinha uma pontuação de risco de 7,3, que pode ser considerada alta.
Os pesquisadores afirmam que, ao instalar o firmware malicioso no computador conectado à bomba, um invasor pode bloqueá-lo remotamente, o que desligaria a bomba ou a desativaria.
Além disso, a criação de um kit de ataque também é bastante fácil, mas a cadeia de ataque é bastante complexa, pois envolve vários estágios, como acessar a rede do hospital, obter o endereço IP da estação de trabalho e gerenciar o código malicioso personalizado. pesquisa na CyberMDX, Elad Luz.
Becton Dickinson sugere que os proprietários de dispositivos precisem atualizar para o firmware mais recente que contém correções para essas falhas.
Não pela primeira vez
Esta não é a primeira vez que os pesquisadores identificaram vulnerabilidades com risco de vida em bombas de infusão médicas. Anteriormente, as Bombas de Infusão de Seringa Médica da Smiths eram afetadas por falhas de alta gravidade,permitindo que atacantes remotos colocassem a vida do paciente em perigo.
No ano passado, durante o RSA 2018, um grupo de médicos demonstrou como alguém pode hackear uma bomba de medicamentos e modificar doses, levando à overdose de um medicamento em particular. O grupo também expôs vulnerabilidades críticas em marca-passos, bombas de insulina e desfibriladores, levando a conseqüências terríveis.
Nenhum comentário:
Postar um comentário