A bomba de seringa Alaris Gateway Workstation, da Becton Dickinson, possui uma vulnerabilidade que permite um ataque hacker crítico: a dosagem remota de remédios em pacientes.
Segundo pesquisadores da CyberMDX, foram encontradas duas vulnerabilidades na bomba de infusão Becton Dickinson Alaris Gateway Workstations (AGW), presente em hospitais e clínicas para controlar o fluxo de remédios em vias venosas ou arteriais.
Enquanto uma das vulnerabilidades não é tão severa — envolve o gerencimento web da interface da workstation —, a mais grave é registrada como CVE-2019-10959 e deixa um hacker acionar as seringas remotamente, ou seja, sem a necessidade de acionar a bomba de infusão no local físico.
Basta ao hacker conseguir o acesso à rede de internet do hospital ou clínica
A vulnerabilidade crítica reside no código do firmware da Alaris Gateway Workstation e abre as seguintes possibilidades: desabilitar completamente a máquina, instalar malware, alterar comandos de dosagem, alterar taxas de infusão e relatar informações falsas de resultado.
Os pesquisadores da CyberMDX ainda notaram que um atacante não necessita privilégios especiais de administrador para realizar os ataques, sendo relativamente fácil enviar comandos para a máquina. Para tal feito, basta ao hacker conseguir o acesso à rede de internet do hospital ou clínica em que a máquina esteja conectada e transferir arquivos maliciosos como patch de atualização de memória.
Uma workstation como esta costuma ser usada para procedimentos que envolvem a transfusão de sangue, a quimioterapia, administração de anestesias e diálise.
Para hospitais e clínicas que possuem tais bombas de infusão, a Becton Dickinson pede para que os administradores atualizem imediatamente o sistema para o último firmware disponível, que já possui correções para o problema.
BD
Posicionamento da BD
Caros,
Com relação à possibilidade de vulnerabilidade das bombas de medicamentos, a BD
esclarece que:
- Garantir a segurança e a qualidade dos nossos produtos é a principal prioridade da BD. Por isso, a companhia realiza processos proativos de divulgação de vulnerabilidades para garantir que nossos clientes estejam cientes de quaisquer instabilidades em potencial e dos controles de compensação para mitigá-los
- A Estação de Trabalho de Gateway Alaris™ não está disponível no mercado brasileiro
- Para os países em que a tecnologia está presente, a recomendação é de atualização imediata do sistema para o último firmware disponível. Para aqueles que não atualizarem seu firmware, a BD fornecerá um patch de software em até 60 dias
Categorias
