研究显示75%的联网医疗用输液泵含有安全风险

安全企业Palo Alto Networks本周警告,该公司扫描了医院及医疗看护组织的超过20万台输液泵(Infusion Pump),发现有高达75%的设备不是含有已知漏洞,就是会触发安全警报。此外,这些输液泵来自7个不同的品牌,显示医疗设备存在着广泛的安全风险。

Palo Alto Networks所使用的扫描工具,可识别40种已知的安全漏洞及超过70种安全警报,显示有15万台输液泵含有其中一种或多种安全漏洞及警报。

研究人员列出了这些设备最常见的10种安全漏洞中,其中占比最高也最危险的是CVE-2019-12255,有52.11%的输液泵含有CVE-2019-12255漏洞,该漏洞存在于嵌入式即时操作系统VxWorks中,开发VxWorks的Wind River在2019年7月就修补了该漏洞。

根据Siemens CERT的说明,黑客只要传递一个具有操纵TCP紧急指标的特定TCP封包到含有漏洞的设备上,就能开采CVE-2019-12255,执行任意程序或访问网络,而且完全不需要用户的交互或通过认证,该漏洞的CVSS风险评分高达9.8。

事实上,在前10名的漏洞中,总计有6个漏洞的CVSS风险评分为9.8,且就算是十大排行榜上最不普及的漏洞,也感染了20万台输液泵中的15.23%。

这些医疗用输液泵上的安全漏洞主要分为三大类,包括外泄机密信息、未经授权的访问,以及存在于第三方TCP/IP堆栈的漏洞,例如CVE-2019-12255。

至于输液泵上10种最常见的安全警报,则涵盖了自外部发送大量的重现封包、无效的用户代理字符串、通过HTTP发送登录信息、于HTTP上采用默认的登录凭证、有流量通过可疑的传输端口、以HTTP发送资料或FTP匿名登录等。

Palo Alto Networks认为,就算近年来医疗产业开始注重医疗物联网(Internet of Medical Things,IoMT)的安全性,也企图创建安全基准,但输液泵的平均年限为8至10年,代表坊间仍有许多必须强化其安全性的老旧设备,建议最好先精确盘点设备数量,展开全面的风险评估,实施风险降低政策,并部署防范安全机制以防范威胁。

发表评论