Identificadas vulnerabilidades em software de monitoramento de pacientes

Em alertas emitidos na quinta-feira, a Philips e a Agência de Segurança de Infraestrutura e Cibersegurança do Departamento de Segurança Interna observaram que várias vulnerabilidades de segurança “baixas a moderadas” foram encontradas em certas versões do sistema Philips IntelliVue Patient Monitor, o Patient Information Center iX ou PIC iX, software e Ponto Focal PerformanceBridge.

As vulnerabilidades requerem um baixo nível de habilidade para serem exploradas, observam os avisos. A exploração bem-sucedida dessas vulnerabilidades pode resultar em acesso não autorizado, monitoramento interrompido e coleta de informações de acesso e / ou dados do paciente. Para explorar com êxito as vulnerabilidades, no entanto, um invasor precisaria obter acesso físico a estações de vigilância e monitores de pacientes ou acesso à rede de dispositivos médicos.

Vulnerabilidades identificadas

As vulnerabilidades identificadas incluem:

• Autenticação imprópria ;
• Verificação inadequada de revogação de certificado;
• Neutralização inadequada de elementos de fórmula em um valor separado por vírgula ou arquivo CSV;
• Scripts entre sites;
• Manuseio impróprio de inconsistência de parâmetro de comprimento;
• Validação inadequada da correção sintática da entrada;
• Validação de entrada inadequada;
• Exposição do recurso à esfera errada.

Até agora, não há exploits conhecidos disponíveis para esses problemas, diz a Philips. E a empresa afirma não ter recebido nenhum relatório relacionado às vulnerabilidades de incidentes que afetam o uso clínico.

Pesquisadores de segurança na Alemanha descobriram as falhas e notificaram o Escritório Federal de Segurança da Informação na Alemanha, que, por sua vez, relatou os problemas à Philips, observa a CISA em seu alerta. A Philips emitiu seu parecer como parte de seu programa voluntário de divulgação de vulnerabilidade coordenada

Etapas de Mitigação

A Philips planeja lançar uma série de atualizações para remediar todas as vulnerabilidades relatadas para os produtos afetados.

Até que esses patches estejam disponíveis, a empresa recomenda que as organizações de saúde tomem as seguintes etapas:

• Isole física ou logicamente a rede de monitoramento de pacientes Philips da rede local do hospital e use um firewall ou roteadores que restrinjam o acesso de entrada e saída da rede de monitoramento de pacientes apenas às portas e endereços IP necessários.
• Limite a exposição garantindo que o protocolo de registro de certificado simples não esteja em execução, a menos que esteja sendo usado ativamente para registrar novos dispositivos.
• Ao registrar novos dispositivos usando SCEP, insira uma senha de desafio exclusiva de oito a 12 dígitos imprevisíveis e aleatórios.
• Implemente controles de segurança física para evitar tentativas de login não autorizado no aplicativo PIC iX. Os servidores devem ser mantidos em data centers bloqueados e controlados. O acesso ao equipamento nas estações de enfermagem deve ser controlado e monitorado.
• Apenas conceda acesso remoto a servidores PIC iX de forma obrigatória.
• Conceda privilégios de login ao monitor de cabeceira e ao aplicativo PIC iX com base em funções e privilégios mínimos – e apenas para usuários confiáveis.

Alerta de produto anterior

Os alertas mais recentes seguem um comunicado que a Philips emitiu em julho sobre uma vulnerabilidade de “desvio de autenticação usando um caminho ou canal alternativo” em certas versões dos sistemas de ultrassom da empresa (consulte: Alertas: Falhas no ultrassom, sistemas hospitalares de código aberto ).

Alguns especialistas em segurança observam que mais fabricantes de dispositivos médicos estão revelando voluntariamente falhas de segurança em seus produtos.

“Nos últimos anos, parcerias com pesquisadores, pressão da indústria, mídia e mudanças regulatórias levaram os fabricantes a perceber que fazer isso é do seu interesse”, disse Bill Aerts, diretor executivo do Archimedes Center for Medical Device Security da Universidade de Michigan .

“Apesar desta tendência da indústria, ainda existem muitos fabricantes, especialmente os pequenos, que não têm esse processo em vigor para divulgar as vulnerabilidades de segurança. A falta de experiência e de recursos em fabricantes menores contribui para isso.”

Fonte: https://www.govinfosecurity.com/patient-monitoring-software-vulnerabilities-identified-a-14991