Graves Vulnerabilidades de Seguridad en Las Bombas de Infusión de Hospira

Expertos de seguridad afirman que las bombas de infusión de medicamentos de Hospira están expuestas a una serie de vulnerabilidades que podrían explotarse remotamente y permitirle a un atacante controlar esos dispositivos a distancia o, incluso, dejarlos completamente inoperables.

Las bombas de infusión son parte de una nueva ola de dispositivos médicos inteligentes y conectados. Como hemos escrito aquí anteriormente respecto a las bombas de insulina de alta tecnología, estos dispositivos médicos “smart” cumplen el objetivo de erradicar los posibles errores humanos en la administración crónica de medicamentos. Por desgracia, muchas de las empresas que desarrollan estos dispositivos, han demostrado en repetidas ocasiones un total desprecio por la ciber-seguridad.

Las Bombas de infusión Lifecare PCA de Hospira son tan vulnerables que, de hecho, el investigador de seguridad Jeremy Richards manifestó: “son los dispositivos IP menos seguros que he visto”. Richards dijo que “un atacante remoto podría hacer que estos aparatos se vuelvan completamente inoperables”, un proceso que en el universo de la seguridad informática se conoce como “bricking” (convertir en ladrillo).

“No sólo son susceptibles a los ataques, dice Richards, están tan mal programados que podrían ser convertidos en un ladrillo inútil con un simple error de tipeo”.

Al mismo tiempo, el especialista advirtió que un atacante “también podría actualizar el software del dispositivo, ejecutar comandos y manipular la biblioteca de medicamentos”.

Un dato interesante es que dos investigadores descubrieron los bugs en los dispositivos de infusión por separado. El primero de estos investigadores fue Billy Rios, conocido en el ámbito de la ciberseguridad por haber hackeado la seguridad de un aeropuerto y los sistemas de automatización de casas inteligentes.

A security flaw in a widely used IV pump lets hackers raise drug-dosage limits http://t.co/8FuMz23ngG

— WIRED (@WIRED) April 10, 2015

Mientras que el estudio de Ríos -que fue presentado ante la ICS-CERT hace más de un año- todavía no fue publicado, Richards dio a conocer sus investigaciones la semana pasada. Rios felicitó a Richards por su artículo.

@dyngnosis submitted to ICS-CERT a year ago, but feel free to publish!

— Billy Rios (@XSSniper) April 29, 2015

En términos más generales (y ciertamente inquietantes) los dispositivos de Hospira almacenan accesos a redes Wi-Fi protegidas (WPA) en texto plano. Con lo cual, si un atacante robara una de estas claves WPA inevitablemente expondría cada uno de los otros dispositivos conectados a la misma red. Incluso, aquellas claves podrían ser tomadas por dispositivos fuera de servicio, en caso de que el hospital fallara en limpiar las claves antes de retirar o de vender equipos. Más simple aún: se trata de dispositivos que poseen un puerto ethernet expuesto, que podría permitir ataques locales simples y rápidos utilizando herramientas de hacking automatizadas.

Sin embargo, no queda claro si la intención de Hospira es arreglar las vulnerabilidades. Richards afirma que la compañía tiene una firme intención de hacerlo, aunque las propias declaraciones de la empresa parecen contradecirlo

Algunas bombas de #infusión de #Hospira contienen vulnerabilidades de #Seguridad peligrosas y fácilmente explotables

Tweet

En respuesta a un mail enviado a nuestro colega de Threatpost, Chris Brook, Hospira dijo: “No hay casos de dispositivos de Hospira que estén siendo atacados en entornos asociados a clínicas; Hospira ha tomado una postura proactiva para hacer frente a las posibles vulnerabilidades de seguridad cibernética que ello podría generar”. La compañía afirma que ya ha hecho comunicados sobre cómo hacer frente a estas vulnerabilidades a sus clientes actuales. Sin embargo, no dijo si se ocuparía del impacto de dichas vulnerabilidades en sus productos existentes. De hecho, prevé hacerlo sólo en productos a desarrollar en un futuro.

“También vale la pena señalar que la explotación de vulnerabilidades requiere penetrar varias capas de la red seguridad, impulsadas por el sistema de información del hospital, que incluye firewalls seguros”, dijo la compañía a través de un comunicado. “Estas medidas sirven como la primera y más fuerte línea de defensa para contrarrestar la manipulación. Las bombas y el software proporcionarían una capa adicional de seguridad.”

Mientras tanto, te dejamos lo siguiente:

Don't buy a Hospira PCA drug pump to do security stuff. Busybx no passwd shell on 23, no-auth CGIs, also never hook it up to a human being

— dyngnosis (@dyngnosis) April 27, 2015

Traducido por: Guillermo Vidal Quinteiro y Maximiliano De Benedetto