信息來源:cnBeta
據(jù)安全研究人員稱,醫(yī)院和醫(yī)療設施中廣泛使用的輸液泵具有嚴重的安全缺陷�,可以遠程劫持和控制。醫(yī)療保健公司CyberMDX的研究人員在醫(yī)療設備制造商Becton Dickinson開發(fā)的Alaris網(wǎng)關工作站中發(fā)現(xiàn)了兩個漏洞�����。
輸液泵是醫(yī)院中最常見的套件之一�����。這些裝置控制靜脈輸液和藥物的分配��,如止痛藥或胰島素�����。他們經(jīng)常連接到中央監(jiān)控站��,因此醫(yī)務人員可以同時檢查多個患者�。但研究人員發(fā)現(xiàn),攻擊者可以在輸液泵的機載電腦上安裝惡意固件�����,該電腦為輸液泵供電,監(jiān)控和控制���。這項電腦運行Windows CE����,通常用于智能手機之前的掌上電腦當中��。
研究人員表示�����,在最糟糕的情況下��,通過安裝修改后的固件�,可以在某些版本的設備上調整泵上的特定命令,包括輸液速率�。研究人員表示,黑客也可以遠程控制機載電腦�,讓輸液泵離線。根據(jù)國土安全部的咨詢報告���,該漏洞在行業(yè)標準的常見漏洞評分系統(tǒng)中獲得了罕見的最高分10.0分�����。另外一個漏洞得分為7.3分��,可能允許攻擊者通Web瀏覽器訪問工作站的監(jiān)控和配置界面��。
研究人員表示�,創(chuàng)建一個攻擊工具包非常簡單�,但攻擊鏈很復雜,需要多個步驟��,包括訪問醫(yī)院網(wǎng)絡����,了解工作站的IP地址以及編寫自定義惡意代碼的能力。換句話說�����,直接殺死病人遠比利用這些漏洞更容易����。CyberMDX去年11月披露了Becton Dickinson的漏洞。對此����,Becton Dickinson表示���,設備所有者應該更新到最新的固件,其中包含針對漏洞的修復程序�。
目前,這種輸液泵在大約有50個國家使用����,但是沒有在美國境內使用。目前���,這些缺陷再次提醒人們����,任何設備都可能存在安全問題 �,尤其是醫(yī)療領域的救生設備。
