Un análisis de datos de más de 200 000 bombas de infusión conectadas a la red que se utilizan en hospitales y entidades de atención médica reveló que el 75 % de esos dispositivos médicos contienen debilidades de seguridad que podrían ponerlos en riesgo de explotación potencial.
“Estas deficiencias incluían la exposición a una o más de unas 40 vulnerabilidades de seguridad cibernética conocidas y/o alertas de que tenían uno o más de unos 70 tipos de deficiencias de seguridad conocidas para dispositivos IoT”, dijo Aveek Das, investigador de seguridad de la Unidad 42. dijo en un informe publicado el miércoles.
El equipo de inteligencia de amenazas de Palo Alto Networks dijo que obtuvo los escaneos de siete fabricantes de dispositivos médicos. Además de eso, el 52,11 % de todas las bombas de infusión analizadas eran susceptibles a dos vulnerabilidades conocidas que se revelaron en 2019 como parte de 11 fallas denominadas colectivamente “URGENTE/11”:
- CVE-2019-12255 (Puntuación CVSS: 9,8): una falla de desbordamiento de búfer en el componente TCP de Wind River VxWorks
- CVE-2019-12264 (Puntuación CVSS: 7,1): un problema con el control de acceso incorrecto en el componente de cliente DHCP de Wind River VxWorks
A continuación se enumeran otros defectos importantes que afectan a la bomba de infusión:
- CVE-2016-9355 (Puntuación CVSS: 5,3): un usuario no autorizado con acceso físico a las unidades de punto de atención Alaris 8015 puede desmontar el dispositivo para acceder a la memoria flash extraíble, lo que permite el acceso de lectura y escritura a la memoria del dispositivo.
- CVE-2016-8375 (Puntuación CVSS: 4,9): un error de gestión de credenciales en las unidades de punto de atención Alaris 8015 que podría explotarse para obtener credenciales de autenticación de red inalámbrica sin cifrar y otros datos técnicos confidenciales
- CVE-2020-25165 (Puntuación CVSS: 7,5): una vulnerabilidad de autenticación de sesión incorrecta en las unidades Alaris 8015 Point of Care que podría utilizarse para realizar un ataque de denegación de servicio en los dispositivos
- CVE-2020-12040 (Puntuación CVSS: 9,8) – Transmisión de texto sin cifrar de información confidencial en el sistema de infusión Sigma Spectrum
- CVE-2020-12047 (Puntuación CVSS: 9,8) – Uso de credenciales FTP codificadas en Baxter Spectrum WBM
- CVE-2020-12045 (Puntuación CVSS: 9,8) – Uso de credenciales Telnet codificadas de forma rígida en Baxter Spectrum WBM
- CVE-2020-12043 (Puntuación CVSS: 9.8) – El servicio FTP WBM de Baxter Spectrum permanece operativo después de su tiempo de vencimiento esperado hasta que se reinicia
- CVE-2020-12041 (Puntuación CVSS: 9,8) – El módulo de batería inalámbrico (WBM) Baxter Spectrum permite la transmisión de datos y las interfaces de línea de comandos a través de Telnet
La explotación exitosa de las vulnerabilidades antes mencionadas podría resultar en la fuga de información confidencial relacionada con los pacientes y permitir que un atacante obtenga acceso no autorizado a los dispositivos, lo que requiere que los sistemas de salud estén protegidos de manera proactiva contra las amenazas.
El año pasado, McAfee reveló vulnerabilidades de seguridad que afectan a la bomba de gran volumen Infusomat Space y SpaceStation de B. Braun que podrían ser objeto de abuso por parte de personas malintencionadas para manipular las dosis de medicamentos sin ninguna autenticación previa.
El descubrimiento “resalta la necesidad de que la industria de la salud redoble los esfuerzos para protegerse contra las vulnerabilidades conocidas, mientras sigue diligentemente las mejores prácticas para las bombas de infusión y las redes hospitalarias”, dijo Das.