腦波儀軟體漏洞可讓駭客入侵醫院網路

思科安全研究機構Talos Intelligence周四指出,知名腦波儀Natus NeuroWorks爆軟體漏洞,可能讓駭客存取裝置上的資訊及攻擊醫院網路、發動阻斷攻擊(DoS)。
 
漏洞存在於Natus公司腦波儀Xltek EEG的軟體 Xltek NeuroWorks 8中,它是用於將腦波儀連上醫院網路,以便將資料蒐集到醫院後端伺服器上。思科研究人員發現這項軟體有5項漏洞,其中4項為程式碼執行漏洞,1項為阻斷攻擊漏洞。
 
研究人員Cory Duplantis指出,Xltek NeuroWorks 8內含4項漏洞編號分別為CVE-2017-2853、CVE-2017-2867、CVE-2017-2868、CVE-2017-2869,皆能讓攻擊者在醫療裝置透過變造的網路封包引發緩衝溢位攻擊,藉此執行程式碼,達到取得程式控制權限,以存取裝置上的病患資訊或是醫院網路上其他系統。另一個漏洞編號為CVE-2017-2861,可用於針對系統傳送惡意資料值引發存取違規(access violation)進而導致阻斷攻擊。所有漏洞都可以在非授權情況下以遠端驅動。
 
在思科研究人員通報Natus後,後者已經更新韌體並釋出給受影響的客戶。研究人員也呼籲醫院清查所用Natus腦波儀裝置並儘速更新軟體。 

原文來自 iThome Online