B.Braun是德国一家全球领先的医用耗材公司,生产基地遍布世界各地。在经济全球化的当下,一旦某个行业巨头的产品出现漏洞,所产生的影响也是全球性的。近日,网络安全公司迈克菲McAfee高级威胁研究小组披露了这家医疗设备巨头制造的输液泵中的5个安全漏洞,这些漏洞曾将全世界的患者置于一个危险的境地。输液泵是在逐步普及的一种医疗装置,较之人工输液要更稳定、更便利,常用于需要严格控制输液速度和药物剂量的场景,全球范围内有超过2亿次的静脉输液在使用B.Braun提供的存在漏洞的输液泵。CVE-2021-33886 • 使用外部控制的格式字符串 (CVSS 7.7)CVE-2021-33885 • 未充分验证数据可靠性 (CVSS 9.7)CVE-2021-33882 • 关键功能缺失身份验证 (CVSS 8.2)CVE-2021-33883 • 明文传输敏感信息 (CVSS 7.1)CVE-2021-33884 • 危险类型文件无限制上传 (CVSS 5.8)通过利用这些漏洞,攻击者可以更改输液泵的配置方式,如输液速度、药物剂量,严重威胁到患者的生命安全。这些漏洞很可能会成为攻击者的勒索工具,在患者的生命安全面前,医院往往会屈服于勒索支付给攻击者高额赎金。之所以会使这种事态成为可能,是因为输液泵的操作系统不检查是从何处获得命令或者是谁向它发送了数据,从而给了攻击者发起远程攻击的操作空间。使用未经授权和未加密的协议也为攻击者提供了多种途径来访问输液泵的内部系统。据悉,B.Braun已经修复了这些漏洞。除此之外,还采取了其他措施来保护设备,如使输液泵在给液时忽略外部请求、要求护士在设置设备前检查药物剂量等。这并不是首例关于输液泵的安全事件,此前安全研究人员已经发现了多个公司的输液泵的安全漏洞,如Medtronic, Hospira Symbiq。另一方面,修补漏洞并不意味着事件已经得到解决,很多医院经常使用过时的设备和软件。据安全研究人员称,多年来,医疗行业在安全领域严重落后于其他行业。![]()
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458392058&idx=3&sn=0d4251fe718bd5aeacf22b596718ec5a&chksm=b18f257086f8ac6629aeea2ca0e381670782666dd118188f5bf3b75b60a6a62d4108f1c9e071#rd
如有侵权请联系:admin#unsafe.sh