Brecha em software de máquina aplicadora de medicamentos permitia duplicar doses
Por Felipe Demartini | Editado por Claudio Yuge | 26 de Agosto de 2021 às 17h00
Entre todos os tipos de ciberataques, golpes contra hospitais e equipamentos de atendimento devem estar entre os mais assustadores. Agora, pesquisadores em segurança adicionaram mais um produto à lista de dispositivos com vulnerabilidades, depois que uma falha no Infusomat Space Large Volume e na doca SpaceStation, ambas da fabricante B. Braun, permitia que atacantes duplicassem a dose de medicamentos aplicada de forma automática nos pacientes.
- Dados de saúde se tornam ouro, mas privacidade nem sempre é respeitada
- Hospital no litoral de Santa Catarina sofre ataque de sequestro digital
- Grande ataque ransomware atinge hospitais, supermercados e empresas em 20 países
A bomba de infusão funciona em terapias que exigem alta precisão e um fluxo constante de medicamentos de forma automática e com aplicação intravenosa. De acordo com os pesquisadores da McAfee, responsável pela descoberta da vulnerabilidade, era possível ultrapassar barreiras de segurança do equipamento e alterar o fluxo de remédios administrados, a partir de uma rede hospitalar que tenha sido comprometida.
Os especialistas não divulgaram os detalhes da falha, mas falaram na exploração de uma série de vulnerabilidades sequenciais que levam o atacante da infraestrutura de uma organização de saúde até o sistema operacional do Infusomat SpaceStation, e de lá para os controles individuais de bombas de infusão. Um desligamento do equipamento chamaria a atenção de profissionais, enquanto a duplicação de doses poderia passar despercebida e poderia gerar danos sérios aos pacientes.
O que diz a fabricante
Em comunicado enviado ao Canaltech, a B. Braun disse já ter trabalhado em uma solução para a vulnerabilidade, que foi publicada em meados de maio, juntamente com informes aos clientes atingidos e guias de mitigação para eventuais brechas em suas redes internas. A fabricante afirmou não ter registros de exploração maliciosa ou incidentes relacionados à falha, que foi corrigida por meio de atualização de software.
Quando perguntada, a companhia disse não poder informar sobre a presença de dispositivos vulneráveis em instituições de saúde brasileiras. Por outro lado, a B. Braun disse ter compartilhado os detalhes sobre a falha com o Centro de Análise e Compartilhamento de Informações sobre Saúde (H-ISAC, na sigla em inglês), uma organização global que trabalha em prol de avançosm de cibersegurança focados no setor.
Fonte: Wired