售至全球50個國家的醫療用輸液幫浦含有遠端攻擊漏洞

鎖定醫療裝置的資安業者CyberMDX,近日揭露了知名醫療裝置製造商Becton, Dickinson and Company(BD)所生產的、用來支撐輸液幫浦的Alaris閘道工作站(Alaris Gateway Workstation)含有兩個安全漏洞,其中一個漏洞允許駭客直接關閉裝置、安裝惡意程式,甚至竄改藥物的劑量或輸液速度。

醫療用輸液幫浦的用途非常廣泛,不管是液體治療、輸血、化療、透析或麻醉都得仰賴它,而Alaris閘道工作站則是這些幫浦的支架,以替幫浦供電,並具備連網能力,同時可支援多個輸液幫浦。

不過,CyberMDX研究團隊的負責人Elad Luz發現Alaris閘道工作站含有嚴重的CVE-2019-10959漏洞,將允許駭客不需取得授權就能自遠端安裝山寨版的韌體更新,進而關閉工作站、破壞輸液幫浦的電力輸送、偽造輸液幫浦的狀態資訊,甚至是竄改藥物的劑量或輸液速度,等同於危及患者的生命。

CVE-2019-10959被歸類為風險等級最高的CVSS v3 10.0漏洞,且美國國土安全部旗下的工業控制系統緊急應變小組(ICS-CERT)也已針對該漏洞發出警告

另一個同樣藏匿在Alaris閘道工作站的安全漏洞則是CVE-2019-10962,主要是其Web管理系統並未設計憑證機制,因此只要知道它的IP位址就能登入,而使得駭客能夠監控輸液幫浦的狀態、紀錄,變更閘道工作站的配置,或是重啟閘道工作站。

BD在得知這兩個漏洞之後,已藉由韌體更新修補了它們,值得注意的是,有許多既有的韌體版本都含有這兩個漏洞,用戶應儘速更新。

BD雖未公布受影響的裝置總數,但對外透露Alaris閘道工作站已售至全球50個國家,其中有3個國家的出貨量多達2,000台,8個超過1,000台,但並未在美國銷售,迄今亦未接獲任何攻擊報告。

原文來自 iThome Online