究人员发现一种广泛使用的医疗输液泵可以被远程劫持
据安全研究人员称,医院和医疗设施中广泛使用的输液泵具有严重的安全缺陷,可以远程劫持和控制。医疗保健公司CyberMDX的研究人员在医疗设备制造商Becton Dickinson开发的Alaris网关工作站中发现了两个漏洞。
输液泵是医院中最常见的套件之一。这些装置控制静脉输液和药物的分配,如止痛药或胰岛素。他们经常连接到中央监控站,因此医务人员可以同时检查多个患者。但研究人员发现,攻击者可以在输液泵的机载电脑上安装恶意固件,该电脑为输液泵供电,监控和控制。这项电脑运行Windows CE,通常用于智能手机之前的掌上电脑当中。
研究人员表示,在最糟糕的情况下,通过安装修改后的固件,可以在某些版本的设备上调整泵上的特定命令,包括输液速率。研究人员表示,黑客也可以远程控制机载电脑,让输液泵离线。根据国土安全部的咨询报告,该漏洞在行业标准的常见漏洞评分系统中获得了罕见的最高分10.0分。另外一个漏洞得分为7.3分,可能允许攻击者通Web浏览器访问工作站的监控和配置界面。
研究人员表示,创建一个攻击工具包非常简单,但攻击链很复杂,需要多个步骤,包括访问医院网络,了解工作站的IP地址以及编写自定义恶意代码的能力。换句话说,直接杀死病人远比利用这些漏洞更容易。CyberMDX去年11月披露了Becton Dickinson的漏洞。对此,Becton Dickinson表示,设备所有者应该更新到最新的固件,其中包含针对漏洞的修复程序。
目前,这种输液泵在大约有50个国家使用,但是没有在美国境内使用。目前,这些缺陷再次提醒人们,任何设备都可能存在安全问题 ,尤其是医疗领域的救生设备。