Sobremedicados: Rompiendo la barrera de seguridad de una bomba de infusión implementada a nivel mundial


Los ciberataques a los centros médicos son una de las formas más despreciables de ciberamenaza que existen. Por ejemplo, el 28 de octubre de 2020, un ataque cibernetico en el Centro Médico de la Universidad de Vermont en Burlington VT llevó a que el 75% de los pacientes de quimioterapia programados fueran rechazados. Muchos de nosotros tenemos amigos y seres queridos que han tenido que someterse a tratamientos intensivos, y lo último que queremos en esta situación es que sus cuidados críticos se retrasen debido a los continuos ciberataques. Sin embargo, por preocupantes que puedan ser los ataques de rescate, ¿qué pasaría si el proceso de recibir el tratamiento fuera una amenaza aún mayor que un evento de ransomware en todo el sistema?

El equipo Organization State-of-the-art Threat Study de McAfee, en asociación con Culinda, han descubierto un conjunto de vulnerabilidades en B. Braun Infusomat Space Big Volume Pump y B. Braun SpaceStation.

(incrustar) https://www.youtube.com/observe?v=N8SFxH-jNRw (/ incrustar)

McAfee Business ATR piratea de forma remota una bomba B.Braun Infusomat

Estas vulnerabilidades críticas podrían permitir a un atacante realizar ataques remotos a la purple y modificar la cantidad de medicamento que recibirá un paciente a través de la infusión. Esta modificación podría aparecer como un mal funcionamiento del dispositivo y notarse solo después de que se haya dispensado una cantidad sustancial de medicamento a un paciente, ya que la bomba de infusión muestra exactamente lo que se prescribió, todo mientras dispensa dosis de medicamento potencialmente letales. Este escenario de ataque es posible a través de una cadena de conocido y vulnerabilidades previamente desconocidas encontradas por McAfee Organization ATR. Un componente crítico de este ataque es que el sistema operativo de la bomba no verifica quién le envía comandos o datos, lo que permite que un atacante lleve a cabo ataques remotos sin ser detectado. Para aquellos que buscan un análisis más técnico de las vulnerabilidades, se puede encontrar un web site en profundidad aquí.

Perspectivas históricas y de la industria

Desde la década de 1960 hasta el 2000, las bombas de infusión eran en su mayoría dispositivos electromecánicos con un sistema operativo integrado, pero el cambio de siglo entregó dispositivos «más inteligentes» con mejores mecanismos de seguridad y la posibilidad de programarlos, lo que abrió lentamente la puerta a los desafíos de seguridad informática. Hoy, se estima que hay más 200 millones Infusiones intravenosas administradas a nivel mundial cada año. El mercado de las bombas de infusión es un claro objetivo potencial para los atacantes. El mercado está valorado en un estimado de $ 54 mil millones en ingresos anuales, con ventas en 2020 de bombas intravenosas en los EE. UU. $ 13.5 mil millones. Se confía intrínsecamente en que las bombas intravenosas sean seguras y, con el tiempo, se han convertido en el pilar de la administración eficaz y precisa de la infusión de medicamentos. B. Braun es uno de los titulares de cuotas de mercado clave en este mercado de rápido crecimiento, enfatizando el impacto de estos descubrimientos de vulnerabilidades.

El individual de la industria puede ser la mejor fuente de información para determinar el impacto. Shaun Nordeck, MD, médico residente de radiología intervencionista en un centro de traumatología de nivel 1, médico del ejército y profesional de la salud aliado, con más de 20 años en el campo de la medicina, afirma que: “Hallazgos de vulnerabilidad importantes como los informados por Enterprise Superior de McAfee El equipo de investigación de amenazas se preocupa por la seguridad y el particular médico preocupado por la seguridad. La capacidad de manipular equipos médicos de forma remota sin ser detectados, con el potencial de dañar al paciente, está armando efectivamente estos dispositivos de punto de atención. Este es un escenario que anteriormente solo era plausible en Hollywood, pero ahora se confirma que es un vector de ataque real en una pieza crítica del equipo que usamos a diario. Los ataques de ransomware que se han dirigido a nuestra industria se basan en vulnerabilidades como estas y es exactamente por eso que esta investigación es essential para comprender y frustrar los ataques de forma proactiva «.

Estas vulnerabilidades se informaron a B. Braun a partir de enero de 2021 a través del programa de divulgación responsable de McAfee. A través de un diálogo continuo, McAfee Company ATR se enteró de que la última versión de la bomba elimina el vector de crimson inicial de la cadena de ataque. A pesar de esto, un atacante simplemente necesitaría otra vulnerabilidad basada en la crimson y todas las técnicas y vulnerabilidades restantes reportadas podrían usarse para comprometer las bombas. Además, las versiones vulnerables de software package todavía se implementan ampliamente en las instalaciones médicas y siguen en riesgo de explotación. Hasta que se produzca un conjunto completo de parches y los clientes de B. Braun lo adopten de manera efectiva, recomendamos que las instalaciones médicas monitoreen activamente estas amenazas con especial atención y sigan las mitigaciones y los controles de compensación proporcionados por B. Braun Health care Inc. en su documentación coordinada de divulgación de vulnerabilidades. .

Llamada a la acción

Con esto concluye un proyecto de investigación que llevó a dos investigadores de alto nivel una cantidad significativa de tiempo para mostrar un riesgo potencialmente mortal de que un atacante remoto se apoderara de un dispositivo médico. Por el momento, los ataques de ransomware son una amenaza más possible en el sector médico, pero eventualmente estas redes se fortalecerán contra este tipo de ataque y los actores maliciosos buscarán otros frutos más bajos.

La desafortunada realidad es que las personas no pueden hacer mucho para prevenir o mitigar estos riesgos a nivel empresarial, aparte de estar atentos a los problemas de seguridad y estar al tanto de las posibles amenazas. Sin embargo, la buena noticia es que los investigadores de seguridad continúan impulsando esta industria hacia un futuro más seguro a través de la divulgación responsable. Recomendamos encarecidamente a los proveedores que adopten la investigación de vulnerabilidades y a los consumidores a exigirla. La industria médica se ha quedado muy rezagada con respecto a otras en el ámbito de la seguridad durante muchos años: es hora de deshacerse de las «tiritas» digitales de los parches lentos y reactivos y adoptar una «cura» integral a través de una mentalidad de seguridad primero etapas de desarrollo, combinado con una solución de parche rápida y eficaz.

Declaración de Braun Professional medical Inc.

En mayo de 2021, B. Braun Health care Inc. reveló información a los clientes y al Well being Info Sharing & Assessment Center (H-ISAC) que abordó las posibles vulnerabilidades planteadas en el informe de McAfee, que estaban vinculadas a una pequeña cantidad de dispositivos que utilizaban versiones anteriores de B. Software de Braun. Nuestra divulgación incluyó pasos claros de mitigación para los clientes afectados, incluidas las instrucciones necesarias para recibir el parche para eliminar vulnerabilidades materiales.

Braun no ha recibido informes de explotación o incidentes asociados con estas vulnerabilidades en el entorno de un cliente.





Enlace a la noticia primary