El grupo Talos, la rama de Cisco dedicada a la investigación sobre seguridad informática, ha descubierto cinco vulnerabilidades en el funcionamiento de un programa informático médico desarrollado por la empresa Natus que se utiliza para hacer encefalogramas en hospitales de todo el mundo.
El programa Natus Xltek Neuro Works 8 de Natus está diseñado para funcionar en sistemas Windows mediante conexiones Ethernet que los vinculan con los dispositivos para hacer encefalogramas y las redes informáticas del hospital que les da acceso a los datos de los pacientes en el sistema.
Las vulnerabilidades descubiertas por Talos hacen que sea posible la ejecución remota de códigos en el aparato, lo que permite que un atacante tenga acceso a los datos del dispositivo y se propague hacia los otros sistemas de la red del hospital para conseguir información adicional sobre los pacientes y la institución.
Cuatro vulnerabilidades de NeuroWorks hacen posible desbordamientos de búfer que los atacantes pueden aprovechar para acceder de forma remota al sistema para dejar comandos en la memoria de la consola. Otra vulnerabilidad permite que un atacante ejecute un ataque de negación de servicio contra dispositivos de encefalogramas, bloqueando su funcionamiento. Todas las vulnerabilidades pueden explotarse de forma remota y sin pasar por ningún proceso de autentificación.
En otras palabras, las vulnerabilidades generan dos grandes riesgos: por un lado, que se instalen códigos maliciosos que permitan que atacantes externos alteren los datos que los dispositivos producen; es decir, que falsifiquen los diagnósticos de las máquinas de encefalogramas, lo que podría tener resultados letales para los pacientes.
El otro gran riesgo es que los dispositivos están conectados al resto del sistema de los hospitales, lo que podría convertirse en una puerta de acceso de los cibercriminales al resto de los datos confidenciales almacenados por el hospital.
Nautus ha publicado un parche para estas vulnerabilidades, pero eso no garantiza su protección hasta que los cientos de hospitales que usan sus productos instalen las actualizaciones, lo que pueden tardar años en hacer.
“Las organizaciones de salud deben estar conscientes de los riesgos a los que estas vulnerabilidades exponen a sus dispositivos médicos”, dijo Talos en su informe sobre la amenaza. “Los sistemas vulnerables deben actualizarse a la última versión del software expuesta por el fabricante. Las redes a las que los sistemas potencialmente vulnerables están conectados deben estar aseguradas para resistir ataques maliciosos”.
“Todas las actividades maliciosas deben detectarse, bloquearse y las fuentes de las actividades deben remediarse para prevenir que las organizaciones sufran daños graves y, lo que es más importante, evitar que los pacientes sufran cualquier tipo de perjuicio”, agregaron los investigadores de Talos.
Fuentes
Hacking your brain(scan): security bugs in EEG software open hospitals to attack • Ars Technica
Critical remote code execution vulnerabilities impact Natus medical devices • ZDNet
Brain monitor had remote code execution and DoS flaw • The Register
Investigadores de Cisco encuentran vulnerabilidades en monitores de actividad cerebral