醫(yī)院醫(yī)療設(shè)備包含潛在的致命漏洞

Windows CE驅(qū)動的Alaris網(wǎng)關(guān)工作站中的漏洞允許攻擊者修改輸液泵的劑量率，這可能會產(chǎn)生致命的結(jié)果。Alaris Gateway工作站是Becton，Dickinson and Company(BD)制造并用于醫(yī)院的輸液泵控制系統(tǒng)中的一個關(guān)鍵漏洞，它允許攻擊者遠程修改系統(tǒng)的功能。據(jù)研究公司Cyber??MDX稱，該系統(tǒng)用于“為輸液泵提供安裝，電源和通信支持”，用于“廣泛的治療，包括液體治療，輸血，化療，透析和麻醉”。該漏洞被命名為CVE-2019-10962，其風險漏洞為10.0(嚴重)，允許攻擊者基本上完全控制設(shè)備，包括遠程安裝固件的能力，因為Alaris Gateway Workstation不使用加密方式已簽名的固件更新包。

要利用此漏洞，攻擊者需要訪問醫(yī)院網(wǎng)絡(luò)，并擁有操作Windows CE的CAB文件的資源。根據(jù)漏洞描述，“如果攻擊者能夠完成這些步驟，他們也可以利用此漏洞調(diào)整輸液泵上的特定命令，包括調(diào)整特定版本的安裝輸液泵的輸液速率。”

盡管對全球醫(yī)院網(wǎng)絡(luò)的審計經(jīng)常發(fā)現(xiàn)安全漏洞，包括英國和新加坡，但獲得進入醫(yī)院網(wǎng)絡(luò)可能是一項挑戰(zhàn)。此漏洞的Windows CE部分是微不足道的，因為MSDN上提供了必要的SDK，或者通常是Microsoft產(chǎn)品的文件共享網(wǎng)絡(luò)。

Cyber??MDX建議阻止使用SMB協(xié)議，以及隔離VLAN網(wǎng)絡(luò)并確保只有適當?shù)挠脩舨拍茉L問網(wǎng)絡(luò)。

發(fā)現(xiàn)了Alaris Gateway Workstation基于瀏覽器的用戶界面中的二級漏洞，如果已知終端的IP地址，則可能允許黑客訪問監(jiān)控，事件日志，用戶指南和配置信息。可以使用固件更新來解決此漏洞，指定為CVE-2019-10959。

國家網(wǎng)絡(luò)安全和通信集成中心(NCCIC)指出，“沒有已知的公共漏洞專門針對這些漏洞”，并且“受影響的產(chǎn)品不會在美國銷售”。

雖然大多數(shù)物聯(lián)網(wǎng)(IoT)漏洞都沒有潛在的致命性，但是連接醫(yī)療設(shè)備和互聯(lián)網(wǎng)相關(guān)的相對較高的賭注應(yīng)該會引起安全專業(yè)人士的極大關(guān)注。

在2018年5月，人們發(fā)現(xiàn)包括Alaris網(wǎng)關(guān)工作站在內(nèi)的醫(yī)療設(shè)備容易受到WPA2 KRACK漏洞的影響。

有關(guān)物聯(lián)網(wǎng)安全的更多信息，請查看“信息圖：人們?nèi)匀徊恢牢锫?lián)網(wǎng)實際上是什么”，“只有9%的公司警告員工有關(guān)物聯(lián)網(wǎng)的風險”，以及TechRepublic上的“2018年的5大物聯(lián)網(wǎng)安全故障”。