Mais de 100.000 bombas de infusão médica vulneráveis a um bug crítico de anos
Os dados coletados de mais de 200.000 bombas de infusão médica conectadas à rede usadas para fornecer medicamentos e fluidos aos pacientes mostram que 75% delas estão funcionando com problemas de segurança conhecidos que os invasores podem explorar.
As descobertas revelam que dezenas de milhares de dispositivos são vulneráveis a seis falhas de gravidade crítica (9,8 de 10) relatadas em 2019 e 2020.
Problemas antigos e críticos persistem
Usando dados coletados de clientes, pesquisadores da Palo Alto Networks analisaram o estado de segurança de mais de 200.000 bombas de infusão e descobriram que entre 30.000 e pelo menos 100.000 delas são vulneráveis a problemas críticos de segurança.
A falha de gravidade crítica mais prevalente encontrada é CVE-2019-12255 , um bug de corrupção de memória no sistema operacional em tempo real (RTOS) VxWorks usado para dispositivos incorporados, incluindo sistemas de bomba de infusão.
Segundo dados da Palo Alto Networks, a falha está presente em 52% das bombas de infusão analisadas, o que se traduz em mais de 104 mil aparelhos.
O CVE-2019-12255 faz parte de um conjunto de 11 vulnerabilidades conhecidas como ‘ URGENT/11 ‘ descobertas e relatadas em 2019 por pesquisadores da Armis, empresa que fornece segurança para dispositivos conectados.
Wind River, que mantém o VxWorks RTOS, abordou todos os problemas URGENT/11 em patches disponíveis desde 19 de julho de 2019. No entanto, grandes atrasos na aplicação de atualizações ou na não instalação são problemas bem conhecidos no cenário de dispositivos incorporados.
O restante dos cinco bugs de gravidade crítica afetam produtos da empresa americana de assistência médica Baxter International e foram relatados em junho de 2020.
Bugs de gravidade crítica em produtos Baxter e porcentagem de dispositivos afetados identificado pela Palo Alto Networks IoT Security
CVE | Gravidade (Pontuação) | % de bombas analisadas com CVEs | ||
1. | CVE-2020-12040 | 9.8 (Crítico) | 17.83% | |
2. | CVE-2020-12047 | 9.8 (Crítico) | 15.23% | |
3. | CVE-2020-12045 | 9.8 (Crítico) | 15.23% | |
4. | CVE-2020-12043 | 9.8 (Crítico) | 15.23% | |
5. | CVE-2020-12041 | 9.8 (Crítico) | 15.23% |
De acordo com o boletim de segurança da Baxter na época, explorar a maioria deles é possível se o ator já estiver na rede, o que está longe de ser incomum.
Os bugs vão desde a transmissão de dados em texto simples sem autenticação até credenciais codificadas e permissões incorretas que permitem o acesso a dados confidenciais ou a alteração da configuração de rede do Módulo de bateria sem fio.
Nenhum patch está disponível para essas vulnerabilidades, mas a Baxter forneceu um conjunto de mitigações (por exemplo, segmentação, monitoramento) projetado para reduzir o risco de explorá-las e recomendou a mudança para o sistema Spectrum IQ Infusion mais recente que não é afetado pelos problemas acima. Um comunicado da CISA observou que um invasor pouco qualificado poderia explorá-los.
Em um post hoje, a Palo Alto Networks recomenda que os provedores de serviços de saúde adotem uma estratégia de segurança proativa para manter os dispositivos protegidos contra ameaças conhecidas e desconhecidas, que começa com um inventário preciso de todos os sistemas na rede.
Os pesquisadores observam que nem todas as vulnerabilidades que afetam atualmente as bombas de infusão analisadas são práticas para ataques remotos, mas são um “risco para a segurança geral das organizações de saúde e a segurança dos pacientes”.