2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
Windows CE驅(qū)動(dòng)的Alaris網(wǎng)關(guān)工作站中的漏洞允許攻擊者修改輸液泵的劑量率,這可能會(huì)產(chǎn)生致命的結(jié)果。Alaris Gateway工作站是Becton,Dickinson and Company(BD)制造并用于醫(yī)院的輸液泵控制系統(tǒng)中的一個(gè)關(guān)鍵漏洞,它允許攻擊者遠(yuǎn)程修改系統(tǒng)的功能。據(jù)研究公司Cyber??MDX稱,該系統(tǒng)用于“為輸液泵提供安裝,電源和通信支持”,用于“廣泛的治療,包括液體治療,輸血,化療,透析和麻醉”。該漏洞被命名為CVE-2019-10962,其風(fēng)險(xiǎn)漏洞為10.0(嚴(yán)重),允許攻擊者基本上完全控制設(shè)備,包括遠(yuǎn)程安裝固件的能力,因?yàn)锳laris Gateway Workstation不使用加密方式已簽名的固件更新包。
要利用此漏洞,攻擊者需要訪問(wèn)醫(yī)院網(wǎng)絡(luò),并擁有操作Windows CE的CAB文件的資源。根據(jù)漏洞描述,“如果攻擊者能夠完成這些步驟,他們也可以利用此漏洞調(diào)整輸液泵上的特定命令,包括調(diào)整特定版本的安裝輸液泵的輸液速率。”
盡管對(duì)全球醫(yī)院網(wǎng)絡(luò)的審計(jì)經(jīng)常發(fā)現(xiàn)安全漏洞,包括英國(guó)和新加坡,但獲得進(jìn)入醫(yī)院網(wǎng)絡(luò)可能是一項(xiàng)挑戰(zhàn)。此漏洞的Windows CE部分是微不足道的,因?yàn)镸SDN上提供了必要的SDK,或者通常是Microsoft產(chǎn)品的文件共享網(wǎng)絡(luò)。
Cyber??MDX建議阻止使用SMB協(xié)議,以及隔離VLAN網(wǎng)絡(luò)并確保只有適當(dāng)?shù)挠脩舨拍茉L問(wèn)網(wǎng)絡(luò)。
發(fā)現(xiàn)了Alaris Gateway Workstation基于瀏覽器的用戶界面中的二級(jí)漏洞,如果已知終端的IP地址,則可能允許黑客訪問(wèn)監(jiān)控,事件日志,用戶指南和配置信息。可以使用固件更新來(lái)解決此漏洞,指定為CVE-2019-10959。
國(guó)家網(wǎng)絡(luò)安全和通信集成中心(NCCIC)指出,“沒(méi)有已知的公共漏洞專門針對(duì)這些漏洞”,并且“受影響的產(chǎn)品不會(huì)在美國(guó)銷售”。
雖然大多數(shù)物聯(lián)網(wǎng)(IoT)漏洞都沒(méi)有潛在的致命性,但是連接醫(yī)療設(shè)備和互聯(lián)網(wǎng)相關(guān)的相對(duì)較高的賭注應(yīng)該會(huì)引起安全專業(yè)人士的極大關(guān)注。
在2018年5月,人們發(fā)現(xiàn)包括Alaris網(wǎng)關(guān)工作站在內(nèi)的醫(yī)療設(shè)備容易受到WPA2 KRACK漏洞的影響。
有關(guān)物聯(lián)網(wǎng)安全的更多信息,請(qǐng)查看“信息圖:人們?nèi)匀徊恢牢锫?lián)網(wǎng)實(shí)際上是什么”,“只有9%的公司警告員工有關(guān)物聯(lián)網(wǎng)的風(fēng)險(xiǎn)”,以及TechRepublic上的“2018年的5大物聯(lián)網(wǎng)安全故障”。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。