L'Advanced Threat Research Team di McAfee Enterprise ha svelato un nuovo studio sulle vulnerabilità rilevate con le pompe create dal colosso sanitario tedesco B. Braun.
Il rapporto racconta i problemi con la pompa Infusomat Space Large Volume di B. Braun e la SpaceStation, entrambe costruite per essere utilizzate in strutture mediche per adulti e pediatriche. Le pompe per infusione sono progettate per aiutare infermieri e medici a saltare le lunghe infusioni manuali e hanno acquisito importanza negli ultimi anni poiché molti ospedali digitalizzano i propri sistemi.
Secondo lo studio, gli aggressori potrebbero sfruttare le vulnerabilità per modificare la configurazione di una pompa in modalità standby, consentendo la somministrazione di dosi alterate di farmaci ai pazienti senza alcun controllo.
Il sistema operativo della pompa non controlla da dove provengono i comandi che riceve o chi gli sta inviando dati, dando ai cybercriminali spazio per attaccare da remoto. L'uso di protocolli non autenticati e non crittografati offre inoltre agli aggressori diverse strade per accedere ai sistemi interni della pompa che regolano la quantità di ciascun farmaco che deve essere somministrata a un paziente.
“Gli attori malintenzionati potrebbero sfruttare più vulnerabilità 0-day per minacciare più scenari di attacco critico, il che può aumentare notevolmente il tasso di somministrazione di farmaci ai pazienti. Le strutture mediche dovrebbero monitorare attivamente queste minacce con particolare attenzione, fino a quando non viene prodotta una suite completa di patch e adottato efficacemente dai clienti di B. Braun,* ha affermato nello studio l'Advanced Threat Research Team di McAfee.
“Attraverso il dialogo continuo con B. Braun, McAfee Enterprise ATR ha rivelato la vulnerabilità e ha appreso che l'ultima versione della pompa rimuove il vettore di rete iniziale della catena di attacco.”
Douglas McKee, Steve Povolny e Philippe Laulheret – membri dell'Advanced Threat Research Team di McAfee – spiegano nel rapporto che le modifiche alla quantità di farmaci somministrati a un paziente sembrerebbero un semplice malfunzionamento del dispositivo e “sarebbero notate solo dopo che una quantità sostanziale di farmaco è stata dispensata a un paziente, poiché la pompa per infusione mostra esattamente ciò che è stato prescritto, il tutto dispensando dosi potenzialmente letali di farmaci”.
McAfee ha osservato che ci sono più di 200 milioni di infusioni endovenose somministrate a livello globale ogni anno utilizzando pompe come quelle fornite da B. Braun. L'azienda è uno dei leader in un mercato di pompe IV che ha fruttato 13,5 miliardi di dollari nel 2020 negli Stati Uniti.
Shaun Nordeck, un medico che lavora presso un Trauma Center di livello 1, ha contribuito allo studio e ha affermato che la capacità di manipolare a distanza apparecchiature mediche non rilevate, con potenziale danno per il paziente, sta effettivamente armando questi dispositivi point of care.
“Questo è uno scenario precedentemente plausibile solo a Hollywood, ma ora confermato di essere un vero vettore di attacco su un'attrezzatura critica che usiamo quotidianamente”, ha detto Nordeck dello studio. “Gli attacchi ransomware che hanno preso di mira il nostro settore si basano su vulnerabilità come queste; ed è proprio per questo che questa ricerca è fondamentale per comprendere e contrastare gli attacchi in modo proattivo.”
McAfee ha informato B. Braun delle vulnerabilità a gennaio e da allora l'azienda ha aggiornato le pompe per risolvere il problema. Ma l'emergere del problema apre una serie completamente nuova di attacchi che potrebbero essere sfruttati se vengono trovate altre vulnerabilità basate sulla rete. Il rapporto rileva che anche se B. Braun ha risolto i problemi, molti ospedali utilizzano ancora strumenti e software vulnerabili.
“L'industria medica è rimasta gravemente indietro rispetto agli altri nel regno della sicurezza per molti anni: è tempo di gettare via i 'cerotti' digitali di patch lenti e reattive e abbracciare una 'cura' olistica attraverso una mentalità incentrata sulla sicurezza da le prime fasi di sviluppo, combinate con una soluzione di patch rapida ed efficace”, hanno affermato McKee, Povolny e Laulheret.
McAfee ha scoperto cinque nuove vulnerabilità separate relative alle pompe: CVE-2021-33886, CVE-2021-33885, CVE-2021-33882, CVE-2021-33883 e CVE-2021-33884, che coprono B. Infusomat Large Volume Pump Model 871305U di Braun, una docking station SpaceStation modello 8713142U che può contenere fino a 4 pompe e un componente software chiamato SpaceCom versione 012U000050, tutti rilasciati nel 2017.
“Quando si osserva come il pump e il suo modulo di comunicazione gestisce la comunicazione e la gestione dei file, abbiamo osservato che i file critici non sono firmati (CVE-2021-33885), la maggior parte degli scambi di dati avviene in testo normale (CVE-2021-33883) e c'è un mancanza generale di autenticazione (CVE-2021-33882) per i protocolli proprietari utilizzati”, afferma il rapporto.
I ricercatori di sicurezza hanno precedentemente scoperto vulnerabilità della sicurezza informatica con pompe per infusione di più aziende oltre a B. Braun come Medtronic, Hospira Symbiq e altre. Ma recentemente il governo tedesco ha pubblicato uno studio sulle pompe per infusione, comprese quelle di B. Braun, come parte di un più ampio esame della sicurezza informatica dei dispositivi medici.
“SpaceCom è un sistema Linux integrato che può essere eseguito sulla pompa dall'interno della sua batteria intelligente o dall'interno della SpaceStation. Tuttavia, quando la pompa è collegata alla SpaceStation, la SpaceCom della pompa viene disabilitata”, ha rilevato lo studio.
“SpaceCom funge da modulo di comunicazione esterno per il sistema ed è separato dalle operazioni interne della pompa, indipendentemente da dove viene eseguita. Una funzione importante di SpaceCom è quella di essere in grado di aggiornare la libreria dei farmaci e la configurazione della pompa memorizzata sulla pompa. La libreria dei farmaci contiene informazioni come reparto e reparto, un elenco di farmaci preconfigurati con le loro concentrazioni predefinite, messaggi informativi da stampare sullo schermo quando selezionati e, cosa più importante, limiti soft e hard per prevenire errori terapeutici”.
Parte del motivo per cui le pompe per infusione sono così ampiamente utilizzate ora è perché aiutano gli infermieri a regolare automaticamente le dosi dei farmaci, con alcuni sistemi che distribuiscono database con più di 1500 coppie chiave/valore.
Una delle difficoltà che gli aggressori possono incontrare è che l'RTOS della pompa non è connesso alla rete, ma è necessario accedervi per apportare modifiche.
“Sebbene questa catena di attacchi presenti un metodo completo per modificare i dati critici della pompa, è importante riconoscere le condizioni necessarie affinché questo attacco abbia successo. Queste pompe sono progettate per essere collegate in rete a una rete interna locale”, hanno spiegato i ricercatori.
“Pertanto, in condizioni operative normali, un utente malintenzionato dovrebbe aver trovato un metodo per accedere alla rete locale. Questo attacco potrebbe avvenire su Internet? Tecnicamente parlando, sì; tuttavia, sarebbe molto improbabile vedere una configurazione in cui una pompa è collegata direttamente a Internet.”
Ci sono anche altre misure prese da B. Braun per proteggere il dispositivo, inclusa una funzione che fa in modo che la pompa ignori le richieste mentre sta già erogando il farmaco, il che significa che l'attacco può essere sfruttato solo quando la pompa è inattiva o in modalità standby tra un'infusione e l'altra . Agli infermieri viene inoltre richiesto di controllare il dosaggio e i livelli dei farmaci prima di impostare qualsiasi cosa, e le normative in più paesi spiegano in dettaglio come il dispositivo dovrebbe essere gestito dagli infermieri.
Ma ottenere l'accesso alle reti locali non è così difficile come una volta e McAfee ha osservato che “i prerequisiti per questo attacco sono minimi e non sono sufficienti per mitigare la minaccia complessiva”. Una volta effettuato l'accesso a una rete locale, i criminali informatici potrebbero adottare una serie di passaggi per semplificare il loro lavoro, inclusa la cancellazione dell'attuale configurazione del server attendibile e la riscrittura su un server controllato da un aggressore.
Gli aggressori possono persino riavviare l'intera operazione per assicurarsi che nessuno dei loro cambiamenti venga notato dal personale ospedaliero.
Nordeck, che ha trascorso più di 20 anni come medico in ambienti privati e nell'esercito degli Stati Uniti, ha affermato che le unità di terapia intensiva sono ambienti ad alta pressione in cui vi è un aumento del rischio di errori di infusione poiché questi sono critici e spesso medici i pazienti complessi hanno più infusioni che vengono regolate frequentemente.
“Gli errori, tuttavia, non sono limitati all'unità di terapia intensiva e possono verificarsi altrettanto facilmente nel reparto di degenza o nelle strutture ambulatoriali”, ha affermato Nordeck. “Essenzialmente con ogni aumento della variabile (complessità o acutezza del paziente, numero di farmaci, variazioni del tasso, rapporto infermiere/paziente, ecc.) c'è un aumento del rischio di errore”.
Nordeck ha aggiunto che “qualcosa di routine come correggere troppo rapidamente l'alto livello di zucchero nel sangue o il livello di sodio di una persona può far gonfiare il cervello o danneggiare i nervi che possono portare a invalidità permanente o addirittura alla morte”.
Sebbene i ricercatori abbiano notato che gli attacchi ransomware sono molto più probabili in questo momento, era importante che le istituzioni sanitarie si rafforzassero contro i tipi di attacchi emergenti che continuano a comparire di volta in volta.
“I produttori di dispositivi mirano chiaramente a produrre prodotti sicuri e protetti, come evidenziato dalle protezioni integrate. Tuttavia, possono esistere difetti che consentono al dispositivo di soccombere a un attacco di riscatto o potenzialmente causare danni”, ha aggiunto Nordeck.
“Pertanto, i produttori dovrebbero collaborare con i professionisti della sicurezza per testare in modo indipendente i loro prodotti per rilevare e correggere potenziali minacce e quindi preservare la sicurezza del paziente e del dispositivo”.
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Data Management Security TV CXO Data Center 