Os pesquisadores da McAfee ATR (Advanced Threat Research) publicaram um relatório de pesquisa apontando cinco vulnerabilidades (sendo uma de gravidade 9.7) em dois dispositivos médico-hospitalares do fabricante B. Braun: um é a bomba Infusomat Space e o outro o SpaceStation, utilizados em atendimento adulto e pediátrico. O fabricante já corrigiu o problema, a partir do alerta enviado em janeiro pelos pesquisadores. A McAfee estima-se que a cada ano essas bombas sejam utilizadas em cerca de 200 milhões de pessoas. Em 2020, nos EUA, as vendas desse dispositivo foram de US$ 13,5 bilhões.
Veja isso
Ataques a hospitais estão aumentando, diz Interpol
Redes hospitalares em risco
A pesquisa, segundo eles, foi feita com o apoio de Culinda, uma empresa especializada em cibersegurança médica: “Por meio dessa parceria, nossa pesquisa nos levou a descobrir cinco vulnerabilidades não relatadas anteriormente no sistema médico, que são:
O relatório indica que as vulnerabilidades são críticas e podem permitir que um invasor faça ataques remotos e modifique a quantidade de medicamento que um paciente receberá por meio da infusão: “Essa modificação pode aparecer como um mau funcionamento do dispositivo e ser percebida somente após uma quantidade substancial do medicamento ter sido dispensado ao paciente, uma vez que uma bomba de infusão de dados aplica exatamente o que foi prescrito, ao mesmo tempo em que pode dispensar doses potencialmente letais de medicamento. Este cenário de ataque é possível através de uma cadeia de conhecidose vulnerabilidades anteriormente conhecidas e também outras desconhecidas, descobertas pelo McAfee Enterprise ATR. Um componente crítico do ataque é que o sistema operacional da bomba não verifica quem está enviando comandos ou dados para ela, permitindo que um invasor execute comandos remotos sem ser detectado”.
Dentro do relatório, a B.Braun publicou uma declaração informando:
Em maio de 2021, a B. Braun Medical Inc. divulgou informações aos clientes e ao Health Information Sharing & Analysis Center (H-ISAC) que abordou as vulnerabilidades potenciais levantadas no relatório da McAfee, que estavam associadas a um pequeno número de dispositivos que utilizavam versões mais antigas do Software B. Braun. Nossa divulgação incluiu etapas claras de mitigação para clientes afetados, incluindo as instruções necessárias para receber o patch para eliminar vulnerabilidades materiais. A Braun não recebeu nenhum relatório de exploração ou incidentes associados a essas vulnerabilidades em um ambiente de cliente.
As vulnerabilidades e seus CVEs são os seguintes:
CVE-2021-33886 – Uso de string de formato controlado externamente (CVSS 7.7)
CVE-2021-33885 – Verificação insuficiente de autenticidade de dados (CVSS 9.7)
CVE-2021-33882 – Autenticação ausente para função crítica (CVSS 8.2)
CVE-2021-33883 – Transmissão de informações confidenciais em texto claro (CVSS 7.1)
CVE-2021-33884 – Upload irrestrito de arquivo com tipo perigoso (CVSS 5.8)
Com informações de agências de notícias internacionais