Falhas de segurança em produtos médicos da Philips abrem brecha para criminosos

Falhas de alta gravidade foram descobertas em três famílias de produtos médicos fornecidos pela Philips, permitindo que atacantes manipulem configurações de aparelhos, extraiam dados sensíveis de pacientes e executem códigos maliciosos. As linhas são fornecidas inclusive no Brasil e foram assunto de comunicado emitido pelo governo dos EUA, com vulnerabilidades que ainda estão em processo de correção.

• Antecipar ataques é a melhor recomendação para as empresas em 2022
• Comércio criminoso de dados corporativos é o maior facilitador de ransomware

As brechas foram encontradas nas linhas IntelliBrudge, Patient Information Center iX e Efficia CM, com produtos que reúnem desde monitores de pacientes até plataformas de acompanhamento para médicos e instituições de saúde. A Agência de Cibersegurança e Infraestrutura do governo dos EUA (CISA, na sigla em inglês), destacou a baixa complexidade de algumas destas explorações, assim como a presença de práticas não adequadas de segurança, como o uso de criptografia frágil ou pouca validação de usuários.

É o caso, por exemplo, dos monitores das linhas PIC iX e Efficia CM, que possuem chaves criptográficas gravadas na memória e trabalham com autorizações impróprias e algoritmos fracos. A brecha, considerada de média severidade, poderia levar a ataques de negação de serviço capazes de tirar os sistemas do ar, assim como extração de dados da instituição e seus pacientes, ainda que modificações mais profundas no software e hardware não sejam possíveis.

Não é o caso, entretanto, dos equipamentos IntelliBridge EC 40 e EC 80. De acordo com os especialistas da Nozomi Networks, responsáveis pelo alerta que foi reproduzido pelo governo americano, criminosos seriam capazes de executar softwares maliciosos e assumir o controle dos dispositivos remotamente, além de obter informações e manipular configurações. O perigo pode ser ainda maior caso a instituição de saúde não siga as melhores práticas indicadas pela Philips, que envolvem o isolamento da tecnologia de outras redes.

São golpes que, na visão dos especialistas, exigem pouca complexidade para serem realizados, mas que podem ser bastante danosos para instituições de saúde e instalações médicas. Por outro lado, a Philips disse não ter evidências de uso malicioso das vulnerabilidades e que, na mais grave, parece pouco provável uma utilização que tenha impactos no tratamento de pacientes, desde que as melhores práticas de segurança sejam seguidas.

Em pronunciamento enviado ao Canaltech, a empresa afirma que "não houve falha de segurança, mas vulnerabilidades baixas e moderadas que não tiveram impacto no uso clínico. Além disso, a companhia ressaltou não ter evidências de exploração maliciosa dos dispositivos e disse ter relatado os problemas aos clientes e agências governamentais, enquanto segue trabalhando em atualizações. Confira a íntegra:

A Philips fabrica, vende e ajuda a manter dispositivos e sistemas médicos de alta complexidade. Com atuação global e como parte da Política de Segurança de Produto, a empresa conduz análises extensas e contínuas dos equipamentos, geralmente em colaboração com clientes e pesquisadores, para identificar e abordar possíveis vulnerabilidades. A Philips publica essas informações para trabalhar junto com os clientes na prevenção e mitigação de riscos. Com relação aos dispositivos das famílias IntelliBridge, Patient Information Center iX (PIC iX) e Efficia CM, a Philips esclarece que não houve falha de segurança, mas vulnerabilidades baixas e moderadas que não tiveram impacto no uso clínico. Além disso, não há evidências de exploração maliciosa dos dispositivos. Seguindo a Política de Divulgação de Vulnerabilidade Coordenada da Philips, a empresa relatou voluntariamente e proativamente essas potenciais vulnerabilidades aos clientes e às agências governamentais apropriadas. Ainda, lançou atualizações de software para corrigir o problema do PIC iX. Já para os demais dispositivos, a empresa segue no desenvolvimento de soluções, enquanto isso, disponibilizou em seu site recomendações de segurança para reduzir possíveis vulnerabilidades.

Mitigação

Por enquanto, apenas os modelos da linha PIC iX receberam atualizações de segurança que resolvem a questão, enquanto os outros devem ganhar updates até o final do ano que vem. Por outro lado, rotinas de segurança e configurações específicas devem ajudar a evitar problemas nos produtos impactados até que a solução esteja disponível.

As recomendações incluem a ativação de mecanismos padrões de criptografia e o armazenamento seguro de informações de pacientes, que não são guardadas nos próprios aparelhos, além do uso de sistemas de limpeza de mídias e softwares de segurança. Além disso, a fabricante reforçou a necessidade de isolamento da rede de dispositivos médicos do restante da infraestrutura da instituição, de forma a evitar movimentos laterais ou comprometimentos maiores por parte dos criminosos.

O pedido também foi reforçado pela CISA, com a recomendação de isolamento sendo um padrão da agência para a operação de dispositivos médicos conectados. Além disso, outras rotinas envolvem fechar os acessos da internet pública aos dispositivos e monitorar os usuários conectados de forma remota por meio do uso de VPNs seguras e outras plataformas internas de segurança.

Fonte: Philips, CISA