Los hackers pueden acceder de forma remota a las bombas de infusión de jeringas para administrar sobredosis fatales

hacking-wireless-syringe-infusion-pumps

Internet de las cosas está convirtiendo a todas las industrias en la industria de la informática, haciendo que los clientes piensen que sus vidas serían mucho más fáciles con los dispositivos inteligentes. Sin embargo, dichos dispositivos podrían verse comprometidos por piratas informáticos.

Hay, por supuesto, algunas buenas razones para conectar ciertos dispositivos a Internet.

¿Pero todo necesita estar conectado? Por supuesto que no, especialmente cuando se trata de dispositivos médicos.

Los dispositivos médicos son cada vez más vulnerables a la piratería. A principios de este mes, la Administración de Drogas y Alimentos de los Estados Unidos (FDA) retiró 465,000 marcapasos después de que fueron encontrados vulnerables a los piratas informáticos.

Ahora, resulta que los piratas informáticos pueden acceder de forma remota a una bomba de infusión de jeringa utilizada en entornos de cuidados agudos y manipularla para impactar el funcionamiento previsto del dispositivo, advirtió ICS-CERT en un aviso emitido el jueves.

Un investigador de seguridad independiente descubrió no solo una o dos, sino ocho vulnerabilidades de seguridad en la bomba de infusión de jeringa inalámbrica Medfusion 4000, fabricada por el fabricante de dispositivos médicos especializados con sede en Minnesota Smiths Medical.

Los dispositivos se utilizan en todo el mundo para administrar pequeñas dosis de medicamentos en cuidados críticos agudos, como cuidados intensivos neonatales y pediátricos y la sala de operaciones.

Algunas de estas vulnerabilidades descubiertas por Scott Gayou tienen una gravedad alta que puede ser explotada fácilmente por un atacante remoto para “obtener acceso no autorizado e impactar el funcionamiento previsto de la bomba”.

Según el ICS-CERT, “a pesar del diseño segmentado, un atacante puede comprometer el módulo de comunicaciones y el módulo terapéutico de la bomba”.

La vulnerabilidad más crítica (CVE-2017-12725) recibió una puntuación CVSS de 9.8 y está relacionado con el uso de nombres de usuario y contraseñas codificadas para establecer automáticamente una conexión inalámbrica si no se cambia la configuración predeterminada.

Los defectos de alta gravedad incluyen:

  • Un error de desbordamiento del búfer (CVE-2017-12718) que podría explotarse para la ejecución remota de código en el dispositivo de destino en ciertas condiciones.
  • Falta de autenticación (CVE-2017-12720) si la bomba está configurada para permitir conexiones FTP.
  • Presencia de credenciales codificadas (CVE-2017-12724) para el servidor FTP de la bomba.
  • Falta de validación adecuada del certificado de host (CVE-2017-12721), lo que deja a la bomba vulnerable a ataques de hombre en el medio (MitM).

El resto son fallas de gravedad media que podrían ser explotadas por los atacantes para bloquear las comunicaciones y los módulos operativos del dispositivo, autenticarse en telnet con credenciales codificadas y obtener contraseñas de los archivos de configuración.

Estas vulnerabilidades afectan a los dispositivos que ejecutan versiones 1.1, 1.5 y 1.6 del firmware, y Smiths Medical ha planeado lanzar una nueva versión del producto 1.6.1 en enero de 2018 para abordar estos problemas.

Pero mientras tanto, se recomienda a las organizaciones de atención médica que apliquen algunas medidas defensivas, incluida la asignación de direcciones IP estáticas a las bombas, el monitoreo de la actividad de la red en busca de servidores maliciosos, la instalación de la bomba en redes aisladas, el establecimiento de contraseñas seguras y la creación periódica de copias de seguridad hasta que se liberen parches.