Uma bomba de infusão de seringa usada em cuidados intensivos possui oito vulnerabilidades, algumas das quais podem ser exploradas por atacantes remotos para impactar a operação pretendida do dispositivo, adverte a ICS-CERT – Industrial Control Systems Cyber Emergency Response Team – US.
O pesquisador independente Scott Gayou identificou oito vulnerabilidades na bomba de infusão de seringa sem fio Medfusion 4000 da Smiths Medical. A Smiths Medical está planejando lançar uma nova versão do produto para resolver essas vulnerabilidades em janeiro de 2018. No ínterim, o NCCIC / ICS-CERT está recomendando que os usuários apliquem os controles de compensação identificados até que a nova versão possa ser aplicada.
Essas vulnerabilidades podem ser exploradas remotamente.
A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor remoto obtenha acesso não autorizado e impacte a operação pretendida da bomba. Apesar do design segmentado, pode ser possível que um invasor comprometa o módulo de comunicação e o módulo terapêutico da bomba.
O impacto nas organizações depende de muitos fatores que são exclusivos de cada organização. O ICS-CERT recomenda que as organizações avaliem o impacto dessas vulnerabilidades com base em seu ambiente operacional e uso clínico específico.
A Smiths Medical planeja lançar a Versão 1.6.1 para a Bomba de infusão de seringas sem fio Medfusion 4000 em janeiro de 2018.
Smiths Medical recomenda que os usuários apliquem as seguintes medidas defensivas:
- Atribua endereços IP estáticos à bomba de infusão de seringa sem fio Medfusion 4000.
- Monitorar a atividade de rede para servidores DNS e DHCP .
- Certifique-se de que os segmentos de rede que as bombas de infusão médicas Medfusion 4000 estão instaladas estão segmentadas de outras infra-estruturas de tecnologia de informação hospitalar e clínica.
- Considere a rede de micro segmentação.
- Considere o uso de redes virtuais de rede local (VLANs) para a segmentação das bombas de infusão médica Medfusion 4000.
- Aplicar padrões adequados e fortes de senha em todos os sistemas (ou seja, use maiúsculas, minúsculas, caracteres especiais e um tamanho mínimo de caracteres de oito).
- Não reutilize senhas.
- Execute rotineiramente backups e execute avaliações de rotina.
Para obter informações adicionais sobre as vulnerabilidades, medidas propostas ou a liberação da correção programada do produto, a empresa pede para que os usuários entrem em contato com o suporte técnico da Smiths Medical.
Detalhes das vulnerabilidades podem ser encontradas em adverte a ICS-CERT
fonte ICS-CERT por MindSec 11/09/2017
Deixe sua opinião!