Logo

Las fallas en la anestesia hospitalaria y los dispositivos respiratorios permiten la manipulación remota

by / 0 Comments / 2 View / July 9, 2019

Los investigadores de seguridad han encontrado una vulnerabilidad en un protocolo de red utilizado en la popular anestesia hospitalaria y en las máquinas respiratorias, que dicen que, si se explotan, se pueden usar para manipular maliciosamente los dispositivos.

Los investigadores de la firma de seguridad sanitaria CyberMDX dijeron que el protocolo utilizado en GE Los dispositivos Aestiva y GE Aespire se pueden usar para enviar comandos si están conectados a un servidor de terminal en la red del hospital. Esos comandos dicen que los comandos pueden silenciar las alarmas, alterar los registros y ser objeto de abuso para cambiar la composición de los gases aspirados utilizados tanto en el respirador como en los dispositivos de anestesia.

Se espera que Homeland Security publique un aviso el martes.

"Los dispositivos utilizan un protocolo patentado", dijo Elad Luz, jefe de investigación de CyberMDX. "Es bastante sencillo descifrar los comandos".

Uno de esos comandos obliga al dispositivo a usar una versión anterior del protocolo, que aún está presente en los dispositivos para garantizar la compatibilidad con versiones anteriores, dijo Luz. Peor aún, ninguno de los comandos requiere autenticación, dijo.

"En cada versión, primero puede enviar un comando para solicitar cambiar la versión del protocolo a la más antigua, y luego enviar una solicitud para cambiar la composición del gas", dijo.

"Mientras el dispositivo se traslade a la red a través de un servidor de terminal, cualquier persona familiarizada con el protocolo de comunicación puede forzar una reversión y enviar una variedad de comandos ilegítimos a la máquina", dijo.

En otras palabras, los dispositivos son mucho más seguros si no están conectados a la red.

CyberMDX reveló las vulnerabilidades a GE a fines de octubre de 2018. GE dijo que las versiones 7100 y 7900 de los modelos Aestiva y Aespire están afectadas. Ambos modelos se implementan en hospitales e instalaciones médicas en los EE. UU.

La portavoz de GE, Amy Sarosiek, le dijo a TechCrunch: "Después de una investigación formal de riesgos, hemos determinado que este escenario de implementación potencial no presenta riesgos clínicos ni riesgos directos para el paciente, y no existe vulnerabilidad con el dispositivo de anestesia en sí".

GE dijo que basó su evaluación de que no existe riesgo para la atención del paciente en los estándares internacionales de seguridad de la atención médica y que se evaluó la variación máxima en la modificación de parámetros de la preocupación divulgada. "Nuestra evaluación no nos lleva a creer que hay problemas de seguridad del paciente", dijo el portavoz.

Pero la compañía se negó a decir cuántos dispositivos están afectados, pero la capacidad de modificar la composición del gas ya no está disponible en los sistemas vendidos después de 2009.

Es el segundo conjunto de vulnerabilidades en el número de meses publicado por CyberMDX. En junio, la firma de investigación encontró vulnerabilidades en una bomba de infusión médica ampliamente utilizada.

Your Commment

Email (will not be published)