Se han revelado múltiples vulnerabilidades de seguridad en las bombas de infusión conectadas a Internet de Baxter que utilizan los profesionales de la salud en entornos clínicos para dispensar medicamentos a los pacientes.
«La explotación exitosa de estas vulnerabilidades podría resultar en el acceso a datos confidenciales y la alteración de la configuración del sistema», la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo en una asesoría coordinada.
Las bombas de infusión son dispositivos habilitados para Internet que utilizan los hospitales para administrar medicamentos y nutrición directamente en el sistema circulatorio de un paciente.
Las cuatro vulnerabilidades en cuestión, descubiertas por empresa de ciberseguridad Rapid7 e informado a Baxter en abril de 2022, afecta a los siguientes sistemas de infusión Sigma Spectrum:
- Sigma Spectrum v6.x modelo 35700BAX
- Sigma Spectrum v8.x modelo 35700BAX2
- Baxter Spectrum IQ (v9.x) modelo 35700BAX3
- Módulos de batería inalámbrica Sigma Spectrum LVP v6.x v16, v16D38, v17, v17D19, v20D29 a v20D32 y v22D24 a v22D28
- Módulos de batería inalámbrica Sigma Spectrum LVP v8.x v17, v17D19, v20D29 a v20D32 y v22D24 a v22D28
- Baxter Spectrum IQ LVP (v9.x) con módulos de batería inalámbrica v22D19 a v22D28
La lista de fallas descubiertas está a continuación:
- CVE-2022-26390 (Puntuación CVSS: 4.2) – Almacenamiento de credenciales de red e información de salud del paciente (PHI) en formato no cifrado
- CVE-2022-26392 (Puntuación CVSS: 2.1) – A vulnerabilidad de cadena de formato al ejecutar un Telnet sesión
- CVE-2022-26393 (Puntuación CVSS: 5,0): una vulnerabilidad de cadena de formato al procesar información de SSID de Wi-Fi, y
- CVE-2022-26394 (Puntuación CVSS: 5,5) – Autenticación mutua faltante con el host del servidor de puerta de enlace
La explotación exitosa de las vulnerabilidades anteriores podría causar una denegación de servicio (DoS) remota, o permitir que un atacante con acceso físico al dispositivo extraiga información confidencial o, alternativamente, lleve a cabo ataques de adversario en el medio.
Las vulnerabilidades podrían dar como resultado una «pérdida de datos críticos de contraseña de Wi-Fi, lo que podría conducir a un mayor acceso a la red si la red no se segmenta adecuadamente», dijo a The Hacker News Deral Heiland, investigador principal de seguridad para IoT en Rapid7.
Baxter, en un aviso, enfatizó que los problemas solo afectan a los clientes que usan las capacidades inalámbricas del sistema de infusión Spectrum, pero también advirtió que podría provocar un retraso o interrupción de la terapia si las fallas se utilizan como armas.
«Si se explotan, las vulnerabilidades podrían resultar en la interrupción de [Wireless Battery Module] funcionamiento, desconexión del WBM de la red inalámbrica, alteración de la configuración del WBM o exposición de los datos almacenados en el WBM», la compañía dijo.
Los últimos hallazgos son otra indicación de cómo las vulnerabilidades de software comunes continúan afectando a la industria médica, un desarrollo preocupante dadas las posibles implicaciones que afectan la atención al paciente.
Dicho esto, esta no es la primera vez que las fallas de seguridad en las bombas de infusión se encuentran bajo el escáner. A principios de marzo, la Unidad 42 de Palo Alto Networks reveló que la gran mayoría de las bombas de infusión estaban expuestas a casi 40 vulnerabilidades conocidas, lo que destaca la necesidad de proteger los sistemas de atención médica de las amenazas de seguridad.
Baxter recomienda a los clientes que se aseguren de que todos los datos y configuraciones se borren de las bombas fuera de servicio, coloquen los sistemas de infusión detrás de un firewall, hagan cumplir la segmentación de la red y utilicen protocolos sólidos de seguridad de la red inalámbrica para evitar el acceso no autorizado.
Es fundamental «implementar procesos y procedimientos para gestionar la desadquisición de tecnología médica, [and] para garantizar que la PII y/o los datos de configuración, como Wi-Fi, WPA, PSK, etc., se eliminen de los dispositivos antes de revenderlos o transferirlos a otra parte», dijo Heiland.
«Mantenga una fuerte seguridad física dentro y alrededor de las áreas médicas que contienen dispositivos MedTech, así como áreas con acceso a una red biomédica. Implemente la segmentación de red para todas las redes biomédicas para evitar que otras redes generales o comerciales se comuniquen con dispositivos MedTech».