United States Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) ha revelado que los investigadores Billy Rios y Terry McCorkle de Cylance han identificado vulnerabilidades críticas en aproximadamente 300 dispositivos médicos de alrededor de 40 proveedores.
Los expertos han descubierto que los dispositivos en cuestión tienen contraseñas codificadas que pueden permitir a un atacante modificar la configuración crítica o el firmware de los dispositivos.
La lista de elementos afectados incluye aparatos quirúrgico y de anestesia, ventiladores, bombas de infusión de drogas, desfibriladores externos, monitores de pacientes y equipamiento de laboratorio y análisis.
Las contraseñas codificadas han sido configuradas para que los técnicos puedan acceder a los dispositivos. Sin embargo, puesto que las contraseñas se pueden obtener fácilmente, no hay nada que impida que los ciberdelincuentes las exploten.
Aunque no existe ninguna evidencia de que las vulnerabilidades han sido explotadas, la Administración de Alimentos y Medicamentos de EEUU (FDA) y ICS-CERT han notificado a los proveedores afectados y les pidieron que "identificaran factores atenuantes específicos".
La FDA también ha publicado un aviso independiente, proporcionando asesoramiento tanto a los fabricantes de dispositivos como a los servicios de atención sanitaria.
"La FDA espera que los fabricantes de dispositivos médicos tomen las medidas apropiadas para limitar las oportunidades de acceso no autorizado a dispositivos médicos", escribió la FDA.
"Específicamente, se recomienda que los fabricantes revisen sus prácticas y políticas de seguridad cibernética para garantizar que haya medidas adecuadas para prevenir el acceso no autorizado o la modificación de sus dispositivos médicos o el compromiso de la seguridad de la red hospitalaria que puede estar conectada al dispositivo".
Hasta que se solucione esta situación, la FDA recomienda a las instalaciones sanitarias que restrinjan el acceso no autorizado a la red y los dispositivos médicos en red, y se aseguren de que esté instalado software de protección adecuado.
También se recomienda que las organizaciones supervisen la actividad de la red para uso no autorizado y realicen las evaluaciones periódicas de los componentes individuales de la red.
http://news.softpedia.es/ICS-CERT-y-FDA-advierten-acerca-de-fallos-de-contrasenas-codificadas-en-300-dispositivo-medicos-361078.html