醫(yī)院醫(yī)療設備包含潛在的致命漏洞

Windows CE驅動的Alaris網關工作站中的漏洞允許攻擊者修改輸液泵的劑量率，這可能會產生致命的結果。Alaris Gateway工作站是Becton，Dickinson and Company(BD)制造并用于醫(yī)院的輸液泵控制系統(tǒng)中的一個關鍵漏洞，它允許攻擊者遠程修改系統(tǒng)的功能。據研究公司Cyber??MDX稱，該系統(tǒng)用于“為輸液泵提供安裝，電源和通信支持”，用于“廣泛的治療，包括液體治療，輸血，化療，透析和麻醉”。該漏洞被命名為CVE-2019-10962，其風險漏洞為10.0(嚴重)，允許攻擊者基本上完全控制設備，包括遠程安裝固件的能力，因為Alaris Gateway Workstation不使用加密方式已簽名的固件更新包。

要利用此漏洞，攻擊者需要訪問醫(yī)院網絡，并擁有操作Windows CE的CAB文件的資源。根據漏洞描述，“如果攻擊者能夠完成這些步驟，他們也可以利用此漏洞調整輸液泵上的特定命令，包括調整特定版本的安裝輸液泵的輸液速率。”

盡管對全球醫(yī)院網絡的審計經常發(fā)現(xiàn)安全漏洞，包括英國和新加坡，但獲得進入醫(yī)院網絡可能是一項挑戰(zhàn)。此漏洞的Windows CE部分是微不足道的，因為MSDN上提供了必要的SDK，或者通常是Microsoft產品的文件共享網絡。

Cyber??MDX建議阻止使用SMB協(xié)議，以及隔離VLAN網絡并確保只有適當?shù)挠脩舨拍茉L問網絡。

發(fā)現(xiàn)了Alaris Gateway Workstation基于瀏覽器的用戶界面中的二級漏洞，如果已知終端的IP地址，則可能允許黑客訪問監(jiān)控，事件日志，用戶指南和配置信息。可以使用固件更新來解決此漏洞，指定為CVE-2019-10959。

國家網絡安全和通信集成中心(NCCIC)指出，“沒有已知的公共漏洞專門針對這些漏洞”，并且“受影響的產品不會在美國銷售”。

雖然大多數(shù)物聯(lián)網(IoT)漏洞都沒有潛在的致命性，但是連接醫(yī)療設備和互聯(lián)網相關的相對較高的賭注應該會引起安全專業(yè)人士的極大關注。

在2018年5月，人們發(fā)現(xiàn)包括Alaris網關工作站在內的醫(yī)療設備容易受到WPA2 KRACK漏洞的影響。

有關物聯(lián)網安全的更多信息，請查看“信息圖：人們仍然不知道物聯(lián)網實際上是什么”，“只有9%的公司警告員工有關物聯(lián)網的風險”，以及TechRepublic上的“2018年的5大物聯(lián)網安全故障”。