最近的网络安全研究发现,对来自医院和医疗机构使用的超 20 万个联网输液泵的数据进行的分析显示,这些医疗设备中有 75% 存在安全漏洞,这些漏洞包括暴露于大约 40 个已知网络安全漏洞中的一个或多个和/或警告他们有大约 70 种其他类型的 IoT 设备已知安全缺陷中的一个或多个。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,在对7家医疗器械设备厂商扫描的所有输液泵中,有 52.11% 容易受到2个已知漏洞的影响,这2个漏洞是2019年披露的统称为 URGENT/11 的11个漏洞中的2个:
- CVE-2019-12255(CVSS 评分:9.8)– Wind River VxWorks 的 TCP 组件中的缓冲区溢出漏洞。
- CVE-2019-12264(CVSS 评分:7.1)– Wind River VxWorks 的 DHCP 客户端组件中的访问控制不正确的问题。
下面列出了影响输液泵的其他重要漏洞:
- CVE-2016-9355(CVSS 评分:5.3)– 对 Alaris 8015 Point of Care 单元进行物理访问的未经授权用户可能能够拆卸设备以访问可移动闪存,从而允许对设备内存进行读写访问。
- CVE-2016-8375(CVSS 评分:4.9)– Alaris 8015 Point of Care 单元中的凭据管理错误,可被利用以获取未加密的无线网络身份验证凭据和其他敏感技术数据。
- CVE-2020-25165(CVSS 评分:7.5)– Alaris 8015 Point of Care 单元中存在不正确的会话身份验证漏洞,可被滥用以对设备执行拒绝服务攻击。
- CVE-2020-12040(CVSS 评分:9.8)– Sigma Spectrum Infusion System 中敏感信息的明文传输。
- CVE-2020-12047(CVSS 评分:9.8)– 在 Baxter Spectrum WBM 中使用硬编码的 FTP 凭证。
- CVE-2020-12045(CVSS 评分:9.8)– 在 Baxter Spectrum WBM 中使用硬编码 Telnet 凭据。
- CVE-2020-12043(CVSS 评分:9.8)– Baxter Spectrum WBM FTP 服务在其预期到期时间后仍可运行,直至重新启动。
- CVE-2020-12041(CVSS 评分:9.8)– Baxter Spectrum 无线电池模块 (WBM) 允许通过 Telnet 进行数据传输和命令行界面。
成功利用上述漏洞可能会导致与患者有关的敏感信息泄露,并允许攻击者未经授权访问设备,因此需要主动保护卫生系统免受威胁。
去年,McAfee披露了影响 B. Braun 的 Infusomat Space 大容量泵和 SpaceStation 的安全漏洞,这些漏洞可能被恶意方滥用以篡改药物剂量,而无需事先进行任何身份验证。
极牛网精选文章《医疗器械IoT安全威胁凸显,超7成输液泵存在重大安全漏洞》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18374.html