FDA表示:数百万使用旧程序代码的医疗设备有遭攻击的可能

美国食品药物管理局(Food and Drug Administration,FDA)针对已存在数十年的网络安全漏洞向医院和医疗服务供应商发出警告,这些漏洞意味着数以百万计的医疗设备多年来有招致攻击的可能风险。

7月,安全公司Armis Security在支持网络通信的软件组件IPnet发现名为Urgent/11的11个网络协议漏洞组件。FDA表示,这些漏洞能让黑客控制某些医疗设备并改变功能,引发拒绝服务攻击(DoS),或造成信息外泄或逻辑缺陷,进而导致设备无法正常运行。

“Urgnet/11非常严重,因为它让攻击者不需要与用户交互的情况下接管设备,甚至可绕过防火墙和NAT解决方案等周边安全设备,”Arimis研究人员在博客写道:“这些具破坏性的特性使得这些漏洞能“繁殖蠕虫”,意味着它们可在网络散播恶意软件。”

从病人监视器、输液泵、摄影机到门铃摄影机都可能遭黑

本周,安全研究人员和政府官员警告表示,这些漏洞不仅存在于运行IPnet的平台,还存在其他包含相同之几十年前老旧程序代码的不同平台。

“尽管原始软件供应商可能不再支持IPnet软件,但一些制造商拥有授权,也即允许他们在不支持的情况下继续使用它,”美国食品药物管理局声明表示:“因此,该软件可整合到其他软件应用程序、设备和系统,这些应用程序、设备和系统可以用于今天仍在使用的各种医疗和工业设备。”

哪些类型的设备容易受到攻击?病人监视器、输液泵、摄影机、打印机、路由器、Wi-Fi网状基站与Panasonic门铃摄影机等等。但是幸运的是,BD Alaris发言人表示,大规模的攻击是不可能的,因为黑客需要分别锁定每台设备。此外,黑客也无法中断正在进行中的输液。

不过,该发现也突显了医疗健康看护产业的一个问题:大多数医疗设备很难更新,除非发生严重问题,否则不会更新。

“这是个烂摊子,说明未管理嵌入式设备的问题,”Armis研究副总裁Ben Seri指出:“在这15年,程序代码发生巨大的变化,但漏洞是唯一保持不变。这就是个挑战。”

Armis发布免费urgent11-detector工具,能检测任何操作系统的系统是否容易招致Urgent/11攻击。FDA也在网站发布针对健康看护供应商、患者和护理人员的建议清单。

(首图来源:Flickr/The U.S. Food and Drug Administration CC BY 2.0)

发表评论