Se han encontrado múltiples vulnerabilidades en dos dispositivos médicos producidos por la empresa de atención médica multimillonaria Baxter International, según la empresa de seguridad Rapid7.
Los problemas surgen de la bomba de infusión Sigma Spectrum de Baxter y la batería Sigma WiFi. Según Rapid7, las bombas de infusión se utilizan ampliamente en hospitales de EE. UU. y otros países para administrar medicamentos a los pacientes.
El investigador principal de Internet de las cosas de Rapid7, Deral Heiland, descubrió las vulnerabilidades a principios de este año y se los informó a Baxter el 20 de abril antes de trabajar con la empresa para resolverlos.
Las cuatro vulnerabilidades giran en torno al desmantelamiento seguro de los módulos de batería inalámbricos (WBM). Los dispositivos médicos suelen contener credenciales de red u otra información privada que debe eliminarse antes de transferir un dispositivo a un nuevo usuario.
Heiland le dijo que las vulnerabilidades ofrecen a los atacantes información sobre la red, pero ninguna de ellas puede explotarse a través de Internet o grandes distancias. Los hackers tendrán que estar al menos del alcance WiFi de los dispositivos afectados y en algunos casos el atacante tendrá que tener acceso físico directo.
“Entonces, si bien estas vulnerabilidades no se clasifican como de gravedad críticamente alta, Baxter tomó estos hallazgos con seriedad y resolvió las mitigaciones de manera adecuada, poniendo la salud del paciente en primer lugar”, dijo.
“En mi opinión, el mayor riesgo es que la unidad WiFi/batería almacene las credenciales WiFi (WPA PSK) de la última unidad de bomba de infusión a la que se conectó”.
Agregó que la función de restablecimiento de fábrica de la bomba no elimina los datos de credenciales del WiFi/batería. Si las baterías se venden en un mercado secundario, alguien podría extraer los datos de ellas.
Heiland dijo que lo aseguró comprando varias de las unidades en eBay y obteniendo con éxito lo que parecen ser datos WPA PSK y SSID válidos, que podrían rastrearse hasta una organización médica específica.
Señaló que si un atacante pudiera obtener acceso a la red de una unidad de bomba, podría, con un solo paquete no autenticado, hacer que la unidad redirija todas las comunicaciones del sistema de back-end a un host que controla, lo que permite un posible “hombre en el- ataque medio”.
Un ataque de hombre en el medio es cuando los hackers se interponen entre una conversación entre los usuarios y una aplicación que están utilizando, lo que les permite escuchar a escondidas o hacerse pasar por un lado.
“Esto podría afectar la precisión de los datos de la bomba que se envían con fines de monitoreo y registro, y también podría usarse para interceptar actualizaciones de datos de la biblioteca de medicamentos en las bombas, lo que podría ser potencialmente peligroso. Si se alteran los datos de la biblioteca de medicamentos, esto… haría que la bomba no alertara al operador si se realizó una configuración peligrosa o podría evitar que la bomba aceptara una configuración válida, lo que provocaría que se cometieran errores en la configuración de medicamentos”, dijo.
Las actualizaciones de software para CVE-2022-26392 y CVE-2022-26393están en proceso de creación.
La autenticación ya está disponible para CVE-2022-26394, y la empresa ha publicado instrucciones para CVE-2022-26390y está notificando a sus clientes sobre varias acciones inmediatas que pueden tomar “para ayudar a fortalecer la seguridad de sus bombas y redes de infusión, incluidas las instrucciones para borrar sus bombas de infusión Spectrum y WBM de datos antes de que sean dados de baja para ayudar a garantizar que se elimine la información privada”.
Baxter agregó que está en contacto regular con Rapid7, la Administración de Drogas y Alimentos y la Agencia de Seguridad de Infraestructura y Ciberseguridad sobre las vulnerabilidades.
“Baxter se toma en serio la seguridad de los productos y de los pacientes y se mantiene alerta para trabajar para proteger sus dispositivos de las amenazas y vulnerabilidades de seguridad cibernética que cambian rápidamente”, dijo un portavoz.
“Hemos determinado que estas vulnerabilidades están controladas, lo que significa que es poco probable que afecten a los pacientes. Continuamos colaborando con Rapid7 para comprender estas vulnerabilidades y ayudar a nuestros clientes a aliviarlas”.
Baxter dijo que lanzará una actualización de software para las plataformas de bomba Spectrum y los módulos de batería inalámbricos en octubre de 2022 que creen que mitigará aún más algunas de las vulnerabilidades.
CISA publicó su propio aviso sobre las vulbnerabilidades, el segundo esta semana relacionado con dispositivos médicos.
Las bombas de infusión han sido durante mucho tiempo una fuente de ira para los expertos en seguridad cibernética y los proveedores que han pasado más de una década tratando de mejorar su seguridad.
El año pasado, el gigante alemán de la salud B. Braun actualizó varias bombas intravenosas defectuosas después de que McAfee descubriera vulnerabilidades que permitían a los atacantes cambiar las dosis.
Si bien Heiland y Rapid7 elogiaron a Baxter por sus esfuerzos proactivos para abordar el problema, el investigador dijo que las organizaciones médicas deben centrarse en los procesos y procedimientos adecuados para la desactivación de dispositivos.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.