德国医疗巨头输液泵存在安全漏洞,迈克菲发布研究报告

发布者:Editor
发布于:2021-08-30 18:32

图片

编辑:左右里


B.Braun是德国一家全球领先的医用耗材公司,生产基地遍布世界各地。在经济全球化的当下,一旦某个行业巨头的产品出现漏洞,所产生的影响也是全球性的。近日,网络安全公司迈克菲McAfee高级威胁研究小组披露了这家医疗设备巨头制造的输液泵中的5个安全漏洞,这些漏洞曾将全世界的患者置于一个危险的境地。

 

输液泵是在逐步普及的一种医疗装置,较之人工输液要更稳定、更便利,常用于需要严格控制输液速度和药物剂量的场景,全球范围内有超过2亿次的静脉输液在使用B.Braun提供的存在漏洞的输液泵。

 

根据McAfee的研究报告,这些漏洞的详情如下:

CVE-2021-33886 • 使用外部控制的格式字符串 (CVSS 7.7)

CVE-2021-33885 • 未充分验证数据可靠性 (CVSS 9.7)

CVE-2021-33882 • 关键功能缺失身份验证 (CVSS 8.2)

CVE-2021-33883 • 明文传输敏感信息 (CVSS 7.1)

CVE-2021-33884 • 危险类型文件无限制上传 (CVSS 5.8)

 

通过利用这些漏洞,攻击者可以更改输液泵的配置方式,如输液速度、药物剂量,严重威胁到患者的生命安全。这些漏洞很可能会成为攻击者的勒索工具,在患者的生命安全面前,医院往往会屈服于勒索支付给攻击者高额赎金。

 

之所以会使这种事态成为可能,是因为输液泵的操作系统不检查是从何处获得命令或者是谁向它发送了数据,从而给了攻击者发起远程攻击的操作空间。使用未经授权和未加密的协议也为攻击者提供了多种途径来访问输液泵的内部系统。

 

据悉,B.Braun已经修复了这些漏洞。除此之外,还采取了其他措施来保护设备,如使输液泵在给液时忽略外部请求、要求护士在设置设备前检查药物剂量等。

 

这并不是首例关于输液泵的安全事件,此前安全研究人员已经发现了多个公司的输液泵的安全漏洞,如Medtronic, Hospira Symbiq。另一方面,修补漏洞并不意味着事件已经得到解决,很多医院经常使用过时的设备和软件。据安全研究人员称,多年来,医疗行业在安全领域严重落后于其他行业。


文章来源:securityaffairs


图片


推荐文章++++

苹果最终屈服,允许开发商在App Store之外提供支付方式

巴林政府监控人权活动家,间谍软件实现零点击感染

知名游戏外设公司雷蛇爆0day漏洞,键鼠成为攻击工具

尼日利亚CEO为筹集资金,招募企业内部员工部署勒索软件

CISA曝摄像头大漏洞!超8300万台设备受影响

数百万台操作技术设备受影响,研究人员披露INFRA:HALT漏洞

PTS气动管道系统爆9个漏洞!北美80%大型医院受影响



图片

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com


声明:该文观点仅代表作者本人,转载请注明来自看雪