FacebookTwitterLinkedIn

13 novas brechas de segurança em dispositivos médicos

https://network-king.net/wp-content/uploads/2021/11/shutterstock_1138570262-1-769x414.jpg

Vulnerabilidades encontradas recentemente em software usado por equipamentos médicos podem gerar falhas em sistemas de controle de hospitais.  O alerta foi feito por pesquisadores do Forescout Research Labs que identificaram problemas na pilha Nucleus TCP/IP, que reponde pela comunicação básica nas redes e é amplamente usada, por exemplo, em máquinas de anestesia, ventiladores, monitores de pacientes e outros dispositivos da área de saúde.   

As vulnerabilidades permitem a execução remota de código ou ataques de negação de serviço. Três das 13 brechas são consideradas críticas, com pontuações CVSS (Common Vulnerability Scoring System) de 9,8 e 8,8. Esse ranking analisa as principais características de uma vulnerabilidade e produz uma pontuação numérica que reflete sua gravidade (entre 0 e 10).  

A Nucleus TCP/IP é parte do Nucleus Real-time Operating System (RTOS), ambos originalmente desenvolvidos pela Accelerated Technology, Inc. (ATI) em 1993, depois adquirida pela Mentor Graphics em 2002 e finalmente pela Siemens em 2017. São usados em diversos setores com exigentes requisitos de segurança, como as áreas médica, automotiva e industrial.  

Segundo a Forescout, a Siemens já liberou correções para todas as 13 vulnerabilidades encontradas. Cerca de metade delas já foi corrigida, mas nunca foram emitidos IDs CVE (Common Vulnerabilities and Exposures). Segundo o site da Siemens, o sistema Nucleus está implantado em três bilhões de dispositivos. 

Fonte:Forescout

Um vídeo apresentando dois possíveis ataques nos laboratórios da Forescout pode ser visto aqui

Embora dispositivos médicos conectados sejam atualmente o foco de muita discussão sobre cibersegurança, a Forescout alerta que outras categorias de dispositivos IoT (Internet  of Things) e OT (Operational Technology) usados nos hospitais também pode ser afetados por essas vulnerabilidades na pilha Nucleus TCP/IP. Por exemplo, equipamentos de automação predial são usados em hospitais em funções,  como controle de acesso, alarme de incêndio, iluminação, aquecimento e ventilação. Ainda que não sejam funções diretamente associadas aos pacientes, são essenciais para os cuidados de saúde. 

Fonte:Forescout

A recomendação da Forescout para se proteger contras essas vulnerabilidades na pilha Nucleus TCP/IP, batizadas de NUCLEUS:13, é instalar os patches nos dispositivos afetados oferecidos pela Siemens e pelos fornecedores dos equipamentos.  A Forescout liberou um script de código aberto que ajuda a identificar dispositivos que usem o sistema Nucleus, atualizado constantemente com novas assinaturas. 

No entanto, no caso de dispositivos integrados, o processo de instalar patches nem sempre é fácil. Nessas situações,  a saída é adotar estratégias de mitigação de riscos, como as que usam controles de segmentação, restringem as rotas de comunicação com o mundo externo e isolam dispositivos vulneráveis até que eles possam ser corrigidos. Outra conduta indicada é monitorar o tráfego da rede em busca de pacotes mal-intencionados que tentam explorar vulnerabilidades. 

Saúde em risco 

O setor de saúde é um dos principais alvos de cibercriminosos. No entanto, um ataque cibernético nesse segmento coloca em risco mais do que sistemas de computadores – põe em risco pessoas com a saúde vulnerável e, em última instância, vidas. 

De acordo com o CyberPeace Institute, que analisou dados relacionados a mais de 235 ciberataques cibernéticos contra o setor de saúde em 25 países durante um período de 12 meses, cerca de 9,6 milhões de registros foram roubados, entre eles números de previdência social, prontuários médicos, resultados de testes de HIV e detalhes privados de doadores médicos.  Em 89% dos casos, sistemas ficaram off-line. Ataques de ransomware no setor da saúde ocorreram a uma taxa de quatro incidentes por semana no primeiro semestre de 2021.  

E isso é apenas a ponta do iceberg, pois há uma falta significativa de relatórios públicos e dados disponíveis em muitas regiões. E esse é um importante ponto nevrálgico da cibersegurança no setor de saúde. É inaceitável que, em muito casos, informações sobre ataques cibernéticos, venham somente da compilação de dados que os próprios operadores de ransomware, ou seja, que os próprios criminosos divulgam. Na visão do instituto, para ser possível tomar ações eficazes contra o cibercrime no setor de saúde, é preciso encorajar relatórios transparentes que ajudem a melhorar a compreensão das ameaças e a capacidade de tomar as medidas adequadas para mitigá-las. 

FacebookTwitterLinkedIn