如今,互联网正在融合每个行业,让人们的生活变得智能化的同时,IoT 设备的安全性却并没有得到很好的保障。一切设备都可以连接互联网,医疗设备也不例外。黑客也逐渐将视线转入到医疗领域。
远程访问医用注射泵,给你提供致命剂量" width="649" data-original="http://image.3001.net/images/20170911/15051012267789.jpg!small" />
本月早些时候,FreeBuf 也报道过美国食品药品监管局(FDA)发现的 46.5 万心脏起搏器存在安全漏洞的事件。如今,DHS ICS-CERT 在上周四发布了相关报告,称他们已经发现急性护理环境中使用的 Medfusion 4000 注射泵存在被黑客远程访问及操纵的风险,并发布了公开警示信息。
医用注射泵中存在 8 个安全漏洞
安全研究人员目前发现在明尼苏达州特种医疗器械制造商 Smiths Medical 制造的 Medfusion 4000 无线注射输液泵中存在八个安全漏洞。这家企业,史密斯医疗可以说是一家全球知名的医疗设备和器材供应商,它的产品广泛应用在全球的医院和护理机构中。而注射泵则是医疗设备中保障输液精度时使用的医疗器械,通常在急性重症监护及手术等情况中。
而研究员 Scott Gayou 发现的这些漏洞评级为 high ,远程攻击者可以获取权限访问注射泵并改变预期操作。
根据 ICS-CERT 的通告也表示,攻击者可能会损害设备中的通信模块和治疗模块。
其中编号为 CVE-2017-12725 的漏洞 CVSS 得分为 9.8 分,漏洞与使用硬编码的用户名和密码相关,如果默认配置没有改变就可以直接建立无线连接。
漏洞具体情况一栏
high 级别的漏洞包括如下:某些情况下可被远程代码执行的缓冲区溢出(CVE-2017-12718)、无验证(CVE-2017-12720)、连接 FTP 时存在硬编码的凭据(CVE-2017-12724)、容易受到中间人(MitM)攻击的缺乏主机证书验证(CVE-2017-12721)。
而其余漏洞则是 medium 严重性的缺陷,攻击者可能会利用以上漏洞来破坏设备的通信和操作模块,使用硬编码凭证进行 telnet 验证,并从配置文件获取密码。
这些漏洞影响到运行 1.1,1.5 和 1.6 版固件的设备,Smiths Medical 计划在 2018 年 1 月发布新版本 1.6.1,以解决这些问题。
目前可以提供给医疗机构的建议如下:
为注射泵分配静态 IP 地址
监测恶意服务器的网络活动
在隔离网络上配置注射泵
设置强密码
定期创建备份
直到补丁发布
*参考来源:thehackernews,raps,Elaine 编译,转载请注明 FreeBuf.COM