Cyber​​MDX研究人员：输液泵具有严重的安全缺陷，可以远程劫持和控制

 
据安全研究人员称，医院和医疗设施中广泛使用的输液泵具有严重的安全缺陷，可以远程劫持和控制。
医疗保健公司Cyber​​MDX的研究人员在医疗设备制造商Becton Dickinson开发的Alaris网关工作站中发现了两个漏洞。
输液泵是医院中最常见的套件之一。这些装置控制静脉输液和药物的分配，如止痛药或胰岛素。他们经常连接到中央监控站，因此医务人员可以同时检查多个患者。
但研究人员发现，攻击者可以在泵的机载计算机上安装恶意固件，该计算机为输液泵供电，监控和控制。这些泵运行在Windows CE上，通常用于智能手机之前的掌上电脑。
在最糟糕的情况下，研究人员表示，通过安装修改后的固件，可以在某些版本的设备上调整泵上的特定命令 – 包括输液速率。
研究人员表示，也可以远程控制机载计算机，使泵脱机。
根据国土安全部的咨询报告，该漏洞在行业标准的常见漏洞评分系统中获得了罕见的最高分10.0分。第二个漏洞得分为10.0分中的7.3分，可能允许攻击者通过Web浏览器访问工作站的监控和配置界面。
研究人员表示，创建一个攻击工具包“非常简单”并“始终如一地工作”，Cyber​​MDX的研究负责人Elad Luz在给TechCrunch的电子邮件中说。但攻击链很复杂，需要多个步骤，访问医院网络，了解工作站的IP地址以及编写自定义恶意代码的能力。
换句话说，杀死病人远比利用这些病毒更容易。
Cyber​​MDX在11月和联邦监管机构披露了Becton Dickinson的漏洞。
Becton Dickinson说设备所有者应该更新到最新的固件，其中包含针对漏洞的修复程序。发言人特洛伊柯克帕特里克表示，该泵并未在美国销售，但由于竞争原因，不会说有多少设备易受攻击。
“大约有50个国家拥有这些设备，”柯克帕特里克说。他证实，八个国家拥有1,000多台设备，三个国家拥有2000多台设备，但没有一个国家拥有超过3,000台设备。
这些缺陷再次提醒人们，任何设备都可能存在安全问题 – 尤其是医疗领域的救生设备。
今年早些时候，美国国土安全部警告称，美敦力除颤器存在一系列严重漏洞。政府发布的警报称该设备的专有无线电通信协议不需要验证，允许附近的攻击者在某些情况下通过无线方式拦截和修改命令。