歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

智能輸液系統可能致命?黑客可以利用漏洞遠程控制輸注速度

來源:本站整理 作者:佚名 時間:2019-06-17 TAG: 我要投稿

輸液設備是一種常見的給藥裝置,在臨床上輸液皮條主要為一簡單中空管道,一次只能掛接一袋/瓶藥液,當藥液輸送完畢后,需要護士進行人為的更換另一袋/瓶藥液,由于患者多且每個患者均可能需要多袋液體,一起頻繁的更換使得醫護人員的工作量極大,同時在換藥過程中也很容易將需要按照一定順序輸入的藥袋搞混,使得輸液順序打亂或輸液藥袋/藥瓶搞錯,給病人帶來不可預知的危險。
因此隨著醫療行業的日漸發展,為了智能化處理以上事項,于是出現了智能輸液系統,作為一個針對醫院病房輸液的智能化、全自動解決方案,智能輸液系統包括護士臺的總控系統和分布于各個病房的輸液終端,可監控各個病房內病人輸液的容量、速度、剩余時間等,并能根據設定的速度實時控制輸液速度,同時一旦出現輸液異常等特殊情況,除此之外智能輸液系統可及時報警告知護士停止輸液,最大化保護患者。
而就是這么一款智能輸液系統,近日被安全研究人員報道,Alaris Gateway工作站(AGW)其存在遠程控制漏洞,可做到改變藥物輸注速度!
Alaris Gateway工作站(AGW)是Becton Dickinson的產品,用于與輸液泵進行通信,并在輸血,麻醉以及化療和透析等各種治療過程中為其供電。

這是發生在輸液系統設備固件代碼中的漏洞,已被分配了最高的嚴重性高達10分,因此可以遠程利用它而無需身份驗證。
除了上述問題外,還有一個漏洞僅影響工作站的基于Web的管理界面。
輸液泵確保患者在一段時間內連續或間歇地接受推薦藥量的藥物。而多個這樣的設備可以連接到單個AWG,以向單個個體提供各種醫療藥物。
而Cyber​​MDX的研究人員發現AGW的固件可以通過自定義版本遠程替換。攻擊者只要與設備同處一個網絡,就可以對在目標系統上進行更新和操作CAB文件,并利用Windows CE正確的格式存儲在AGW的存檔庫文件。
通過這種類型的訪問,攻擊者將能夠改變連接到AWG的某些型號的輸液泵所分配的藥物的劑量,這在醫院病房和重癥監護室中是常見的。
即,可以控制藥物輸液速度。
要知道,輸液速度如果過快,易加重心臟負擔,引起心衰或肺水腫等不良反應。
而對于未發育成熟的未成年人,以及身體不好的老年人來說,輸液速度過快甚至可能導致疾病,嚴重甚至致死!

這不是危言聳聽,更不是故意制造噱頭。
雖然此漏洞(CVE-2019-10959)易于利用,但攻擊者仍需要了解Windows CE環境,以及通信協議如何在受影響的產品中發揮作用; 攻擊者還需要知道如何修改CAB文件,并利用Windows CE正確的格式存儲在AGW的存檔庫文件。
由于該漏洞僅限于在美國尚未銷售的單一BD輸液系統(Alaris™網關工作站),因此重要的是要注意本公開內容不適用于大多數BD輸液系統。
研究人員建議采取以下措施來降低攻擊者利用此漏洞的風險:
1、客戶阻止SMB協議
2、客戶應該隔離其VLAN網絡
3、客戶應確保只有合適的員工才能訪問客戶網絡
Cyber​​MDX發現的第二個漏洞被追蹤為CVE-2019-10962  ,其嚴重程度得分為7.3。它位于AWG的基于Web的界面中,利用它可以讓攻擊者訪問設備監視,事件日志和設備配置。
只需要知道目標AWG的IP地址,就可以訪問其web管理界面。
BD廠商稱,需安裝最新的AWG固件版本緩解風險,或等待60天內BD推送的補丁。
美國媒體曾經爆出,其醫院里的大多數醫療設備都存在著被黑客入侵的風險:按劑量注射藥物的“藥物輸液泵”可被遠程控制而改變預先設定的輸入劑量;具備藍牙連接功能的心臟電擊器可能被遠程控制而給予病患不恰當的電擊次數;X光成像等隱私數據或重置醫用冰箱的恒溫數據可通過入侵醫院網絡訪問等等。
早在2011年8月,在拉斯維加斯的黑帽子大會上,一名叫作杰羅姆·拉德克利夫的信息安全研究員就演示了利用網絡攻擊糖尿病患者實施謀殺的案例。
植入式醫學器械(IMD)也難逃漏洞,類似與心臟設備,其由于完全依賴專用無線通信系統,因此在大多數情況下,這種通信系統利用遠程射頻通道,而攻擊者不需要太接近設備,便能輕易黑進該通道。當攻擊者攔截IMD和顯示器之間的連接時,他們能發起各種攻擊, 一鍵便可殺死病患。

因此,醫療設備和系統開發的過程務必需要專業的安全團隊來評估,以確保系統本身抵抗攻擊的能力夠強,沒有致命的漏洞留給黑客,還要建立安全的審計機制,即對設備或者系統的每一次訪問,都要有記錄,而且要跟蹤這些記錄進行區分,阻止非正常訪問行為并修補已知的漏洞。
除此之外,醫院和醫療設備廠商還要加強系統中每一個用戶的安全意識,并且確保用戶權限劃分得相對隔離且安全,如病人對自己的設備數據權限是可讀,責任醫生的權限是可讀可改,責任護士可以操作醫生審批的指令,而其他醫生或護士則無權訪問該病人數據等。
同時,醫院和醫療設備廠商要及時跟進各方面技術信息反饋的漏洞,如廠商反饋、安全團隊、同行公開等,才能盡量將醫療設備的入侵風險扼殺在“搖籃”里。
而奇安信威脅情報中心,作為一個有責任,有擔當的安全廠商的安全團隊,將及時更新與醫療行業相關的情報與漏洞,防止病人遭遇黑客攻擊的風險。
 

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视