Máquina de anestesia da GE pode sofrer ciberataque e mudar dosagem

2 min de leitura
Imagem de: Máquina de anestesia da GE pode sofrer ciberataque e mudar dosagem
Avatar do autor

Máquinas de anestesia da GE Healthcare possuem vulnerabilidades que permitem a invasão não-autorizada de terceiros. Segundo a própria empresa, cibercriminosos conectados na mesma rede das máquinas poderiam modificar os parâmetros de composição do gás liberado via inalação, o que afetaria um paciente durante o uso.

As máquinas de anestesia em questão são a Aestiva e a Aespire (versões 7100 e 7900), que possuem homologação da Anvisa no Brasil. Além de modificar parâmetros, a brecha permite a alteração na leitura da densidade do gás liberado.

Um hacker também conseguiria silenciar alarmes das máquinas

O bug em questão, catalogado como CVE-2019-10966, é perigoso: um cibercriminoso não só pode realizar tudo que foi descrito, como também consegue silenciar alarmes da máquina e alterar registros de tempo e data.

Mesmo assim, a GE emitiu nota tranquilizando os operadores dessas máquinas e avisando que um ciberataque não causaria danos aos pacientes, já que essas máquinas não podem ser usadas sem acompanhamento humano no local.

“Os dispositivos de anestesia são qualificados como ‘dispositivo assistido’ e a localização do dispositivo é onde o controle primário é mantido pelo médico. Enquanto um alarme pode ser silenciado através da conexão TCP/IP insuficientemente protegida do terminal para o dispositivo de anestesia da GE Healthcare, tanto a anunciação audível do alarme como a sinalização visual do alarme são apresentadas ao médico assistente na interface do dispositivo de anestesia da GE Healthcare”, comentou a empresa.

Se o dispositivo pode sofrer comandos pela rede sem autenticação, isso é um risco crítico

Por outro lado, o pesquisador líder de IoT da Rapid7, Deral Heiland, disse ao Threatpost que o caso deve sim ser preocupante. “A resposta da GE de determinar nenhum risco para os pacientes me faz pensar que nível de controle pode ser conduzido pela rede contra a anestesia e as máquinas inalatórias. “Meu primeiro pensamento é, se o dispositivo pode sofrer comandos pela rede sem autenticação, isso é um risco crítico. De qualquer maneira, as instalações médicas devem sempre manter a segmentação de suas redes de cuidados críticos contra a exposição, e isso nos ajuda a mitigar muitos riscos conhecidos e desconhecidos”.

Ainda não há uma correção para o problema, por isso, a GE Healthcare vem pedindo para hospitais e organizações que usem as máquinas Aestiva e Aespire que garantam a segurança dos servidores durante a conexão de portas com redes TCP/IP, além de utilizar uma “criptografia forte, VPN, autenticação de usuários, controles de rede, registro, capacidade de auditoria e opções seguras de configuração e gerenciamento de dispositivos”.

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.