0
0
Problema foi corrigido mas poderia colocar pacientes em risco por meio da rede do hospital
Os pesquisadores da McAfee ATR (Advanced Threat Research) publicaram um relatório de pesquisa apontando cinco vulnerabilidades (sendo uma de gravidade 9.7) em dois dispositivos médico-hospitalares do fabricante B. Braun: um é a bomba Infusomat Space e o outro o SpaceStation, utilizados em atendimento adulto e pediátrico. O fabricante já corrigiu o problema, a partir do alerta enviado em janeiro pelos pesquisadores. A McAfee estima-se que a cada ano essas bombas sejam utilizadas em cerca de 200 milhões de pessoas. Em 2020, nos EUA, as vendas desse dispositivo foram de US$ 13,5 bilhões.
A pesquisa, segundo eles, foi feita com o apoio de Culinda, uma empresa especializada em cibersegurança médica: “Por meio dessa parceria, nossa pesquisa nos levou a descobrir cinco vulnerabilidades não relatadas anteriormente no sistema médico, que são:https://www.youtube.com/embed/N8SFxH-jNRw?feature=oembed&enablejsapi=1&origin=https://www.cisoadvisor.com.brVídeo da prova de conceito feito pelos pesquisadores da McAfee ATR
O relatório indica que as vulnerabilidades são críticas e podem permitir que um invasor faça ataques remotos e modifique a quantidade de medicamento que um paciente receberá por meio da infusão: “Essa modificação pode aparecer como um mau funcionamento do dispositivo e ser percebida somente após uma quantidade substancial do medicamento ter sido dispensado ao paciente, uma vez que uma bomba de infusão de dados aplica exatamente o que foi prescrito, ao mesmo tempo em que pode dispensar doses potencialmente letais de medicamento. Este cenário de ataque é possível através de uma cadeia de conhecidose vulnerabilidades anteriormente conhecidas e também outras desconhecidas, descobertas pelo McAfee Enterprise ATR. Um componente crítico do ataque é que o sistema operacional da bomba não verifica quem está enviando comandos ou dados para ela, permitindo que um invasor execute comandos remotos sem ser detectado”.
Dentro do relatório, a B.Braun publicou uma declaração informando:
Em maio de 2021, a B. Braun Medical Inc. divulgou informações aos clientes e ao Health Information Sharing & Analysis Center (H-ISAC) que abordou as vulnerabilidades potenciais levantadas no relatório da McAfee, que estavam associadas a um pequeno número de dispositivos que utilizavam versões mais antigas do Software B. Braun. Nossa divulgação incluiu etapas claras de mitigação para clientes afetados, incluindo as instruções necessárias para receber o patch para eliminar vulnerabilidades materiais. A Braun não recebeu nenhum relatório de exploração ou incidentes associados a essas vulnerabilidades em um ambiente de cliente.
As vulnerabilidades e seus CVEs são os seguintes:
CVE-2021-33886 – Uso de string de formato controlado externamente (CVSS 7.7)
CVE-2021-33885 – Verificação insuficiente de autenticidade de dados (CVSS 9.7)
CVE-2021-33882 – Autenticação ausente para função crítica (CVSS 8.2)
CVE-2021-33883 – Transmissão de informações confidenciais em texto claro (CVSS 7.1)
CVE-2021-33884 – Upload irrestrito de arquivo com tipo perigoso (CVSS 5.8)
Com informações de agências de notícias internacionais
FONTE: CISO ADVISOR