As descobertas revelam que dezenas de milhares de dispositivos são vulneráveis a seis falhas de gravidade crítica (9,8 de 10) relatadas em 2019 e 2020.
Usando dados coletados de clientes, pesquisadores da Palo Alto Networks analisaram o estado de segurança de mais de 200.000 bombas de infusão e descobriram que entre 30.000 e pelo menos 100.000 delas são vulneráveis a problemas críticos de segurança.
A falha de gravidade crítica mais prevalente encontrada é CVE-2019-12255 , um bug de corrupção de memória no sistema operacional em tempo real (RTOS) VxWorks usado para dispositivos incorporados, incluindo sistemas de bomba de infusão.
Segundo dados da Palo Alto Networks, a falha está presente em 52% das bombas de infusão analisadas, o que se traduz em mais de 104 mil aparelhos.
O CVE-2019-12255 faz parte de um conjunto de 11 vulnerabilidades conhecidas como ‘ URGENT/11 ‘ descobertas e relatadas em 2019 por pesquisadores da Armis, empresa que fornece segurança para dispositivos conectados.
Wind River, que mantém o VxWorks RTOS, abordou todos os problemas URGENT/11 em patches disponíveis desde 19 de julho de 2019. No entanto, grandes atrasos na aplicação de atualizações ou na não instalação são problemas bem conhecidos no cenário de dispositivos incorporados.
O restante dos cinco bugs de gravidade crítica afetam produtos da empresa americana de assistência médica Baxter International e foram relatados em junho de 2020.
Bugs de gravidade crítica em produtos Baxter e porcentagem de dispositivos afetados identificado pela Palo Alto Networks IoT Security
| CVE | Gravidade (Pontuação) | % de bombas analisadas com CVEs | ||
| 1. | CVE-2020-12040 | 9.8 (Crítico) | 17.83% | |
| 2. | CVE-2020-12047 | 9.8 (Crítico) | 15.23% | |
| 3. | CVE-2020-12045 | 9.8 (Crítico) | 15.23% | |
| 4. | CVE-2020-12043 | 9.8 (Crítico) | 15.23% | |
| 5. | CVE-2020-12041 | 9.8 (Crítico) | 15.23% |
De acordo com o boletim de segurança da Baxter na época, explorar a maioria deles é possível se o ator já estiver na rede, o que está longe de ser incomum.
Os bugs vão desde a transmissão de dados em texto simples sem autenticação até credenciais codificadas e permissões incorretas que permitem o acesso a dados confidenciais ou a alteração da configuração de rede do Módulo de bateria sem fio.
Nenhum patch está disponível para essas vulnerabilidades, mas a Baxter forneceu um conjunto de mitigações (por exemplo, segmentação, monitoramento) projetado para reduzir o risco de explorá-las e recomendou a mudança para o sistema Spectrum IQ Infusion mais recente que não é afetado pelos problemas acima. Um comunicado da CISA observou que um invasor pouco qualificado poderia explorá-los.
Em um post hoje, a Palo Alto Networks recomenda que os provedores de serviços de saúde adotem uma estratégia de segurança proativa para manter os dispositivos protegidos contra ameaças conhecidas e desconhecidas, que começa com um inventário preciso de todos os sistemas na rede.
Os pesquisadores observam que nem todas as vulnerabilidades que afetam atualmente as bombas de infusão analisadas são práticas para ataques remotos, mas são um “risco para a segurança geral das organizações de saúde e a segurança dos pacientes”.
Pesquisadores da Huntress identificaram uma campanha massiva de phishing que usa infraestrutura da Railway e…
A Mazda informou que um acesso externo não autorizado a um sistema ligado à gestão…
A CVE-2026-32746, com CVSS 9.8, afeta o telnetd do GNU InetUtils até a versão 2.7…
A campanha GlassWorm voltou com escala muito maior e já atingiu 433 componentes em GitHub,…
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…