食品药物管理局(FDA)通知患者,医疗保健专业人员和其他利益相关者,警告他们有11种漏洞可能会危害医疗设备和医院网络。 这套漏洞被称为“ URGENT / 11”,是在十年前的名为IPnet的第三方软件组件中发现的。
URGENT / 11由六个允许远程执行代码(RCE)的严重缺陷组成,另外五个则被分类为拒绝服务(DoS)和逻辑缺陷。 拒绝服务攻击和逻辑缺陷可能会阻止设备运行,而RCE可能允许远程黑客控制易受攻击的医疗设备。
这是可能的,因为IPnet支持计算机之间的网络通信。 尽管其原始供应商不再支持IPnet,但一些制造商仍持有许可证,允许他们在不支持的情况下将软件组件合并到其设备中。 因此,该软件已经找到了进入各种医疗设备中使用的设备,设备和其他软件应用程序的途径。 最重要的是,IPnet已被用于医疗保健行业中的实时操作系统(RTOS)中,通常可以提高医疗设备的性能和准确性,因为它可以实时响应事件。
这不是有关URGENT / 11的第一份咨询。 国土安全部(DHS)在7月还发布了有关该漏洞集的声明,其中主要涵盖了VxWorks中发现的漏洞。 在Armis研究人员发现同一组漏洞影响了更多操作系统之后,FDA发布了更详细的更新。
受影响的操作系统在下面列出。 但是,FDA指出,并非这些系统的所有版本都包含IPnet和一系列漏洞: 完整性(由GreenHills撰写) ITRON(由TRON撰写) 嵌入式操作系统(OSE)(由ENEA提供) ThreadX(由Microsoft) VxWorks(风河公司) ZebOS(通过IP注入) 医疗保健行业中与物联网相关的其他问题
FDA尚未收到有关URGENT / 11被用于袭击或造成实际不良影响的任何报告。 但是,FDA敦促制造商和其他受影响的利益相关者采取预防措施,以防止上述漏洞的发生。 甚至警告自己使用医疗设备的患者,也要警惕设备的突然更改,并立即报告。
网络安全风险对医疗保健行业具有可怕的影响。 不幸的是,该行业面临这些风险,因为实施新兴技术以改善其工艺和处理方法的成本很高。 几份报告已经披露了诸如胰岛素泵之类的关键设备中的漏洞,该漏洞可能允许黑客通过发送射频(RF)信号来更改附近的泵设置,而在某些麻醉机中发现的漏洞可能允许远程黑客进行修改 设备参数(即更改吸入气体的成分)并使患者处于危险之中。 风险也可能来自意想不到的地方,例如可用于传播恶意代码的医疗图像和可能泄露敏感信息的传呼机。
趋势科技(Trend Micro)在2018年进行了一项研究,以发现联网医院中的此类风险。 除了暴露的设备和系统,研究还探讨了供应链带来的风险。 在现代医疗机构中,与供应链相关的风险是一个重要的考虑因素,因为相连的医院更加依赖基于云的系统,第三方服务提供商和供应商。 如本例所示,第三方组件中的漏洞或弱点可能会直接导致安全问题。
制造安全医疗设备的责任主要落在制造商身上,鼓励制造商与FDA和DHS等组织紧密合作,以生产高质量和标准化的产品。 国家标准技术研究院(NIST)还强调了供应链风险管理(SCRM)的重要性,尤其是在确保医疗保健等关键基础设施安全方面。
除制造商外,还敦促其他利益相关者(分销商,医疗机构和用户)保护其各自的医疗设备和系统。 医疗保健机构应确保其第三方提供商和供应商共享与他们相同的高安全性标准。 用户或患者需要对各自的设备负责,并且要警惕妥协的迹象。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
