要闻
您现在的位置:首页 > 要闻 > Cyber​​MDX研究人员:输液泵具有严重的安全缺陷,可以远程劫持和控制

财经

更多>>

商业

更多>>

Cyber​​MDX研究人员:输液泵具有严重的安全缺陷,可以远程劫持和控制

发布时间:2019/06/14 要闻 浏览次数:96

 

据安全研究人员称,医院和医疗设施中广泛使用的输液泵具有严重的安全缺陷,可以远程劫持和控制。

医疗保健公司Cyber​​MDX的研究人员在医疗设备制造商Becton Dickinson开发的Alaris网关工作站中发现了两个漏洞。

输液泵是医院中最常见的套件之一。这些装置控制静脉输液和药物的分配,如止痛药或胰岛素。他们经常连接到中央监控站,因此医务人员可以同时检查多个患者。

但研究人员发现,攻击者可以在泵的机载计算机上安装恶意固件,该计算机为输液泵供电,监控和控制。这些泵运行在Windows CE上,通常用于智能手机之前的掌上电脑。

在最糟糕的情况下,研究人员表示,通过安装修改后的固件,可以在某些版本的设备上调整泵上的特定命令 – 包括输液速率。

研究人员表示,也可以远程控制机载计算机,使泵脱机。

根据国土安全部的咨询报告,该漏洞在行业标准的常见漏洞评分系统中获得了罕见的最高分10.0分。第二个漏洞得分为10.0分中的7.3分,可能允许攻击者通过Web浏览器访问工作站的监控和配置界面。

研究人员表示,创建一个攻击工具包“非常简单”并“始终如一地工作”,Cyber​​MDX的研究负责人Elad Luz在给TechCrunch的电子邮件中说。但攻击链很复杂,需要多个步骤,访问医院网络,了解工作站的IP地址以及编写自定义恶意代码的能力。

换句话说,杀死病人远比利用这些病毒更容易。

Cyber​​MDX在11月和联邦监管机构披露了Becton Dickinson的漏洞。

Becton Dickinson说设备所有者应该更新到最新的固件,其中包含针对漏洞的修复程序。发言人特洛伊柯克帕特里克表示,该泵并未在美国销售,但由于竞争原因,不会说有多少设备易受攻击。

“大约有50个国家拥有这些设备,”柯克帕特里克说。他证实,八个国家拥有1,000多台设备,三个国家拥有2000多台设备,但没有一个国家拥有超过3,000台设备。

这些缺陷再次提醒人们,任何设备都可能存在安全问题 – 尤其是医疗领域的救生设备。

今年早些时候,美国国土安全部警告称,美敦力除颤器存在一系列严重漏洞。政府发布的警报称该设备的专有无线电通信协议不需要验证,允许附近的攻击者在某些情况下通过无线方式拦截和修改命令。

姓 名:
邮箱
留 言: