如今,互联网正在融合每个行业,让人们的生活变得智能化的同时,IoT设备的安全性却并没有得到很好的保障。一切设备都可以连接互联网,医疗设备也不例外。黑客也逐渐将视线转入到医疗领域。

黑客可以远程访问医用注射泵,给你提供致命剂量

本月早些时候,FreeBuf 也报道过美国食品药品监管局(FDA)发现的46.5万心脏起搏器存在安全漏洞的事件。如今,DHS ICS-CERT在上周四发布了相关报告,称他们已经发现急性护理环境中使用的Medfusion 4000注射泵存在被黑客远程访问及操纵的风险,并发布了公开警示信息。

黑客可以远程访问医用注射泵,给你提供致命剂量

医用注射泵中存在 8 个安全漏洞

安全研究人员目前发现在明尼苏达州特种医疗器械制造商 Smiths Medical 制造的 Medfusion 4000 无线注射输液泵中存在八个安全漏洞。这家企业,史密斯医疗可以说是一家全球知名的医疗设备和器材供应商,它的产品广泛应用在全球的医院和护理机构中。而注射泵则是医疗设备中保障输液精度时使用的医疗器械,通常在急性重症监护及手术等情况中。

而研究员 Scott Gayou 发现的这些漏洞评级为 high ,远程攻击者可以获取权限访问注射泵并改变预期操作。

根据 ICS-CERT 的通告也表示,攻击者可能会损害设备中的通信模块和治疗模块。

其中编号为 CVE-2017-12725 的漏洞 CVSS 得分为9.8分,漏洞与使用硬编码的用户名和密码相关,如果默认配置没有改变就可以直接建立无线连接。

漏洞具体情况一览

high 级别的漏洞包括如下:某些情况下可被远程代码执行的缓冲区溢出(CVE-2017-12718)、无验证(CVE-2017-12720)、连接FTP时存在硬编码的凭据(CVE-2017-12724)、容易受到中间人(MitM)攻击的缺乏主机证书验证(CVE-2017-12721)。

而其余漏洞则是 medium 严重性的缺陷,攻击者可能会利用以上漏洞来破坏设备的通信和操作模块,使用硬编码凭证进行 telnet 验证,并从配置文件获取密码。

黑客可以远程访问医用注射泵,给你提供致命剂量

这些漏洞影响到运行1.1,1.5和1.6版固件的设备,Smiths Medical 计划在2018年1月发布新版本1.6.1,以解决这些问题。

目前可以提供给医疗机构的建议如下:

为注射泵分配静态IP地址

监测恶意服务器的网络活动

在隔离网络上配置注射泵

设置强密码

定期创建备份

直到补丁发布

*参考来源:thehackernews,raps,Elaine编译