作者:左右裡
編輯:釉子
8月2日,物聯網公司Armis公佈了一組統稱為“PwnedPiper”的9個漏洞,涉及到遠端程式碼執行、許可權提升、記憶體損壞等。這些漏洞影響到了北美80%以上大型醫院的氣動管道系統(PTS)。
據悉,有3000多家醫院安裝了PTS氣動管道系統,這些管道連線著大型醫院的不同部門。氣動管道系統可使用壓縮空氣移動醫療用品(比如血液、藥物等),有效地發揮了作用。
作為醫院內部物流運輸的解決方案,運輸著這麼敏感且重要的醫療用品,PTS的重要性不必多說,但另一方面PwnedPiper漏洞的危害也因此被無限放大。
攻擊者可以利用PwnedPiper漏洞實現遠端程式碼執行,獲取員工的電子憑證、瞭解PTS的物理佈局,最終接管醫院的氣動管道系統。
試想,攻擊者可以選擇加快運輸來損壞醫療用品,也可以選擇延遲交付手術急需的物品。這時醫院的醫療運作完全取決於攻擊者,患者的生命可能會成為攻擊者勒索的籌碼。
由於PTS系統的普遍性及被攻擊後果的嚴重性,PwndPiper安全漏洞受到了相當大的重視。目前,PTS產商已經修復了8個漏洞,餘下的一個漏洞CVE-2021-37160 將於未來的版本中修復。
Armis稱,儘管這些內部物流運輸系統很普遍,但這些系統的安全性從未被徹底分析或研究過。
這起事件也揭示了,患者的醫療保健是由多方面影響的,安全可靠的病患護理不僅源自醫療裝置本身,同時也離不開醫院運營基礎設施的有力支撐。對這些系統給予關注,將成為我們完善醫療保健環境保障能力的一個重要里程碑。
推薦文章++++
* EA對勒索無動於衷,黑客曝光全部資料!
* 福昕釋出安全更新,PDF軟體存在多個漏洞
* 明確規範人臉識別!最高人民法院釋出司法解釋
* 網際網路專項整治行動已啟動!聚焦彈窗欺騙等熱點難點問題
* 日美歐眾多網站癱瘓,緣於阿卡邁系統故障
* 微軟7月累積更新來了!修復13個高危漏洞
* 又一非法採集人臉資訊企業被查處!人臉資訊保護刻不容緩
﹀
﹀
﹀
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com