Gobernanza y gestión de riesgos, atención médica, investigación específica de la industria Los investigadores dicen que el fabricante Proges Plus no ha respondido a los hallazgos de vulnerabilidad Prajeet Nair (@prajeetspeaks) • 27 de junio de 2024 Los monitores de temperatura fabricados por Proges Plus y utilizados en hospitales tienen vulnerabilidades que no se pueden reparar, dice Nozomi Networks. (Imagen: Shutterstock) Las vulnerabilidades en los dispositivos de monitoreo de temperatura conectados a Internet que se utilizan principalmente en hospitales, y su aplicación de escritorio que los acompaña, podrían permitir a los piratas informáticos obtener privilegios de administrador para la tecnología. Ver también: Reducción de la complejidad en la TI de la atención médica (libro electrónico) Los investigadores de Nozomi Networks descubrieron cuatro vulnerabilidades en Sensor Net Connect y tres fallas en la aplicación de escritorio Thermoscan IP, ambas fabricadas por una división de la firma francesa Proges Plus. El sistema está diseñado para entornos como los hospitales, donde las temperaturas deben permanecer exactas y constantes. Una falla, identificada como CVE-2024-31202, permitiría a un usuario con acceso básico a la aplicación Thermoscan IP crear nuevas cuentas y asignarles privilegios de nivel de administrador. Un ejemplo del mundo real de un usuario que ya podría tener acceso básico a la aplicación de escritorio incluye contratistas de mantenimiento y aplicaciones de terceros, dijo Nozomi en una publicación de blog del jueves. Los investigadores sugieren que los atacantes podrían usar su acceso para exfiltrar datos confidenciales o comprometer la integridad del monitoreo de temperatura. En Estados Unidos, las autoridades han advertido durante mucho tiempo que los dispositivos médicos son vías potenciales para los piratas informáticos, dada la tendencia de los fabricantes a no someter sus productos a pruebas de seguridad durante el desarrollo o la posventa. Si se descubren vulnerabilidades en los dispositivos, muchas permanecen sin parchear, especialmente si se utilizan en consultorios médicos más pequeños que carecen de soporte de ciberseguridad a tiempo completo. Una advertencia de 2022 del FBI citó una investigación que encontró que los dispositivos médicos en promedio tienen 6,2 vulnerabilidades y que más de la mitad de los dispositivos en red en los hospitales tienen fallas críticas conocidas. Una ley estadounidense de 2023 exige que los fabricantes cumplan con requisitos de ciberseguridad mejorados al presentar nuevos dispositivos para la aprobación federal, lo que incluye demostrar la capacidad de un dispositivo para actualizarse y parchearse, así como demostrar la eficacia de sus controles de seguridad y régimen de pruebas (ver: Exclusivo: Líder de la FDA sobre el impacto de la nueva ley de dispositivos médicos). Nozomi dijo que intentó comunicarse con Proges Plus varias veces, directa e indirectamente a través del Centro de Coordinación CERT de EE. UU., pero no recibió respuesta. Information Security Media Group ha solicitado comentarios de la empresa. Dada la falta de remediación directa, como la publicación de parches o consejos de mitigación por parte del proveedor, Nozomi recomienda segregar la infraestructura de monitoreo de temperatura evitando que los clientes habituales accedan a la interfaz de configuración web. La empresa también sugiere monitorear regularmente los registros y la actividad de la cuenta para buscar señales de actividad sospechosa o maliciosa. URL de la publicación original: https://www.databreachtoday.com/no-patches-for-hospital-temperature-monitors-critical-flaws-a-25632