研究显示75%的联网医疗用输液泵含有安全风险

darthracer · 2022-3-4 23:17

安全企业Palo Alto Networks本周警告，该公司扫描了医院及医疗看护组织的超过20万台输液泵（Infusion Pump），发现有高达75%的设备不是含有已知漏洞，就是会触发安全警报。此外，这些输液泵来自7个不同的品牌，显示医疗设备存在着广泛的安全风险。

Palo Alto Networks所使用的扫描工具，可识别40种已知的安全漏洞及超过70种安全警报，显示有15万台输液泵含有其中一种或多种安全漏洞及警报。

研究人员列出了这些设备最常见的10种安全漏洞中，其中占比最高也最危险的是CVE-2019-12255，有52.11%的输液泵含有CVE-2019-12255漏洞，该漏洞存在于嵌入式即时操作系统VxWorks中，开发VxWorks的Wind River在2019年7月就修补了该漏洞。

根据Siemens CERT的说明，黑客只要传递一个具有操纵TCP紧急指标的特定TCP封包到含有漏洞的设备上，就能开采CVE-2019-12255，执行任意程序或访问网络，而且完全不需要用户的交互或通过认证，该漏洞的CVSS风险评分高达9.8。

事实上，在前10名的漏洞中，总计有6个漏洞的CVSS风险评分为9.8，且就算是十大排行榜上最不普及的漏洞，也感染了20万台输液泵中的15.23%。

这些医疗用输液泵上的安全漏洞主要分为三大类，包括外泄机密信息、未经授权的访问，以及存在于第三方TCP/IP堆栈的漏洞，例如CVE-2019-12255。

至于输液泵上10种最常见的安全警报，则涵盖了自外部发送大量的重现封包、无效的用户代理字符串、通过HTTP发送登录信息、于HTTP上采用默认的登录凭证、有流量通过可疑的传输端口、以HTTP发送资料或FTP匿名登录等。

Palo Alto Networks认为，就算近年来医疗产业开始注重医疗物联网（Internet of Medical Things，IoMT）的安全性，也企图创建安全基准，但输液泵的平均年限为8至10年，代表坊间仍有许多必须强化其安全性的老旧设备，建议最好先精确盘点设备数量，展开全面的风险评估，实施风险降低政策，并部署防范安全机制以防范威胁。

cyu0205 · 2022-9-13 11:55

我去，不要命了这是