医院医疗设备包含潜在的致命漏洞

Windows CE驱动的Alaris网关工作站中的漏洞允许攻击者修改输液泵的剂量率，这可能会产生致命的结果。Alaris Gateway工作站是Becton，Dickinson and Company(BD)制造并用于医院的输液泵控制系统中的一个关键漏洞，它允许攻击者远程修改系统的功能。据研究公司Cyber​​MDX称，该系统用于“为输液泵提供安装，电源和通信支持”，用于“广泛的治疗，包括液体治疗，输血，化疗，透析和麻醉”。该漏洞被命名为CVE-2019-10962，其风险漏洞为10.0(严重)，允许攻击者基本上完全控制设备，包括远程安装固件的能力，因为Alaris Gateway Workstation不使用加密方式已签名的固件更新包。

要利用此漏洞，攻击者需要访问医院网络，并拥有操作Windows CE的CAB文件的资源。根据漏洞描述，“如果攻击者能够完成这些步骤，他们也可以利用此漏洞调整输液泵上的特定命令，包括调整特定版本的安装输液泵的输液速率。”

尽管对全球医院网络的审计经常发现安全漏洞，包括英国和新加坡，但获得进入医院网络可能是一项挑战。此漏洞的Windows CE部分是微不足道的，因为MSDN上提供了必要的SDK，或者通常是Microsoft产品的文件共享网络。

Cyber​​MDX建议阻止使用SMB协议，以及隔离VLAN网络并确保只有适当的用户才能访问网络。

发现了Alaris Gateway Workstation基于浏览器的用户界面中的二级漏洞，如果已知终端的IP地址，则可能允许黑客访问监控，事件日志，用户指南和配置信息。可以使用固件更新来解决此漏洞，指定为CVE-2019-10959。

国家网络安全和通信集成中心(NCCIC)指出，“没有已知的公共漏洞专门针对这些漏洞”，并且“受影响的产品不会在美国销售”。

虽然大多数物联网(IoT)漏洞都没有潜在的致命性，但是连接医疗设备和互联网相关的相对较高的赌注应该会引起安全专业人士的极大关注。

在2018年5月，人们发现包括Alaris网关工作站在内的医疗设备容易受到WPA2 KRACK漏洞的影响。

有关物联网安全的更多信息，请查看“信息图：人们仍然不知道物联网实际上是什么”，“只有9%的公司警告员工有关物联网的风险”，以及TechRepublic上的“2018年的5大物联网安全故障”。