El Internet de las cosas ha orientado a las industrias al ámbito computacional, provocando que los clientes piensen que sus vidas serían mucho más sencillas con dispositivos inteligentes. Sin embargo, algunos de estos dispositivos podrían ser comprometidos por los atacantes.

Existen, por supuesto, muy buenas razones para conectar ciertos dispositivos a Internet.

¿Eso quiere decir que todo debe de estar conectado? Por supuesto que no, especialmente cuando se refiere a dispositivos médicos.

Ha incrementado la cantidad de dispositivos médicos que contienen vulnerabilidades que pueden ser aprovechadas por los atacantes. A principios de este mes, la Administración de Comida y Medicamentos de los Estados Unidos (FDA), retiró 465,000 marcapasos después de que se descubriera que estos son vulnerables a ataques informáticos.

Recientemente se ha determinado que se puede obtener acceso remoto a las bombas de infusión de jeringa utilizadas en cuidados intensivos y ser manipuladas para modificar la operación de este dispositivo, por lo que el ICS-CERT emitió un comunicado de advertencia sobre este problema el jueves pasado.

Un investigador de seguridad independiente ha descubierto que no son solamente una o dos vulnerabilidades, sino un total de ocho vulnerabilidades encontradas en la bomba de infusión de jeringas inalámbrica Medfusion 4000, desarrollada en Minnesota por los especialistas en dispositivos médicos de la empresa Smiths Medical.

Los dispositivos son utilizados alrededor del mundo para proporcionar pequeñas dosis de medicina durante los cuidados críticos, como los cuidados intensivos neonatales y pediátricos y en la sala de operaciones.

Algunas de estas vulnerabilidades descubiertas por Scott Gayou tienen un gran impacto y pueden ser fácilmente explotadas por un atacante de forma remota para “obtener acceso no autorizado y modificar el comportamiento de la bomba”.

De acuerdo con el ICS-CERT, “A pesar del diseño segmentado, es posible para un atacante comprometer los módulos de comunicaciones y el módulo terapéutico de la bomba”.

La vulnerabilidad más crítica (CVE-2017-12725) ha obtenido una calificación de 9.8 en la escala del CVSS, relacionada con la obtención de usuario y contraseñas cuando se establece la conexión inalámbrica, esto debido a las configuraciones por defecto.

Dentro de las vulnerabilidades de mayor impacto se encuentran:

• Vulnerabilidad de buffer overflow (CVE-2017-12718), que podría ser explotada para la ejecución de código remoto en un dispositivo en ciertas condiciones.
• Falta de autenticación (CVE-2017-12720), si la bomba permite las conexiones FTP.
• Presencia de credenciales codificadas (CVE-2017-12724), para el servidor FTP de la bomba.
• Falta de validación en el certificado del host (CVE-2017-12721), dejando la bomba vulnerable a un ataque de hombre en el medio (MitM).

El resto de las fallas de gravedad media pueden ser explotadas por los atacantes rompiendo las comunicaciones y los módulos operacionales el dispositivo, autenticación Telnet utilizando credenciales codificadas y obtención de contraseñas a partir de archivos de configuración.

Estás vulnerabilidades afectan a los dispositivos que utilizan las versiones 1.1,1.5, 1.6 del firmware, por lo cual, Smiths Medical tiene planeado lanzar la versión 1.6.1 en Enero del 2018 para solucionar estos problemas.

Mientras tanto, se ha recomendado a las organizaciones de salud aplicar algunas medidas de protección incluyendo la asignación estática de direcciones IP a las bombas, monitoreo de la actividad de red de los servidores maliciosos, instalación de las bombas en redes aisladas, uso de contraseñas seguras y creación de respaldos hasta que los parches sean lanzados.