德國醫療巨頭輸液泵存在安全漏洞，邁克菲釋出研究報告

編輯：左右裡

B.Braun是德國一家全球領先的醫用耗材公司，生產基地遍佈世界各地。在經濟全球化的當下，一旦某個行業巨頭的產品出現漏洞，所產生的影響也是全球性的。近日，網路安全公司邁克菲McAfee高階威脅研究小組披露了這家醫療裝置巨頭製造的輸液泵中的5個安全漏洞，這些漏洞曾將全世界的患者置於一個危險的境地。

輸液泵是在逐步普及的一種醫療裝置，較之人工輸液要更穩定、更便利，常用於需要嚴格控制輸液速度和藥物劑量的場景，全球範圍內有超過2億次的靜脈輸液在使用B.Braun提供的存在漏洞的輸液泵。

根據McAfee的研究報告，這些漏洞的詳情如下：

CVE-2021-33886 • 使用外部控制的格式字串 （CVSS 7.7）

CVE-2021-33885 • 未充分驗證資料可靠性 （CVSS 9.7）

CVE-2021-33882 • 關鍵功能缺失身份驗證 （CVSS 8.2）

CVE-2021-33883 • 明文傳輸敏感資訊 （CVSS 7.1）

CVE-2021-33884 • 危險型別檔案無限制上傳 （CVSS 5.8）

通過利用這些漏洞，攻擊者可以更改輸液泵的配置方式，如輸液速度、藥物劑量，嚴重威脅到患者的生命安全。這些漏洞很可能會成為攻擊者的勒索工具，在患者的生命安全面前，醫院往往會屈服於勒索支付給攻擊者高額贖金。

之所以會使這種事態成為可能，是因為輸液泵的作業系統不檢查是從何處獲得命令或者是誰向它傳送了資料，從而給了攻擊者發起遠端攻擊的操作空間。使用未經授權和未加密的協議也為攻擊者提供了多種途徑來訪問輸液泵的內部系統。

據悉，B.Braun已經修復了這些漏洞。除此之外，還採取了其他措施來保護裝置，如使輸液泵在給液時忽略外部請求、要求護士在設定裝置前檢查藥物劑量等。

這並不是首例關於輸液泵的安全事件，此前安全研究人員已經發現了多個公司的輸液泵的安全漏洞，如Medtronic, Hospira Symbiq。另一方面，修補漏洞並不意味著事件已經得到解決，很多醫院經常使用過時的裝置和軟體。據安全研究人員稱，多年來，醫療行業在安全領域嚴重落後於其他行業。

文章來源：securityaffairs

推薦文章++++

* 蘋果最終屈服，允許開發商在App Store之外提供支付方式

* 巴林政府監控人權活動家，間諜軟體實現零點選感染

* 知名遊戲外設公司雷蛇爆0day漏洞，鍵鼠成為攻擊工具

* 奈及利亞CEO為籌集資金，招募企業內部員工部署勒索軟體

* CISA曝攝像頭大漏洞！超8300萬臺裝置受影響

* 數百萬臺操作技術裝置受影響，研究人員披露INFRA：HALT漏洞

* PTS氣動管道系統爆9個漏洞！北美80%大型醫院受影響

﹀

﹀

﹀

公眾號ID：ikanxue

官方微博：看雪安全

商務合作：wsc@kanxue.com