医疗专业人员在临床环境中向患者分发药物时使用的百特联网输液泵存在多个安全漏洞。输液泵是医院使用的联网设备,可将药物和营养直接输送到患者的循环系统中。
“成功利用这些漏洞可能导致访问敏感数据和改变系统配置,”美国网络安全和基础设施安全局 (CISA)在协调咨询报告中表示。
网络安全公司 Rapid7发现并于 2022 年 4 月向 Baxter 报告了这4个漏洞,影响以下Sigma Spectrum 输注系统:
Sigma Spectrum v6.x 型号 35700BAX
Sigma Spectrum v8.x 型号 35700BAX2
Baxter Spectrum IQ (v9.x) 型号 35700BAX3
Sigma Spectrum LVP v6.x 无线电池模块 v16、v16D38、v17、v17D19、v20D29 至 v20D32 和 v22D24 至 v22D28
Sigma Spectrum LVP v8.x 无线电池模块 v17、v17D19、v20D29 至 v20D32 和 v22D24 至 v22D28
Baxter Spectrum IQ LVP (v9.x) 与无线电池模块 v22D19 至 v22D28
发现的缺陷列表如下 :
CVE-2022-26390(CVSS 评分:4.2)- 以未加密格式存储网络凭据和患者健康信息 (PHI)
CVE-2022-26392(CVSS 分数:2.1) -运行Telnet会话时的格式字符串漏洞
CVE-2022-26393(CVSS 分数:5.0) - 处理 Wi-Fi SSID 信息时的格式字符串漏洞,以及
CVE-2022-26394(CVSS 分数:5.5) - 缺少与网关服务器主机的相互身份验证
成功利用上述漏洞可能会导致远程拒绝服务 (DoS),或使攻击者能够对设备进行物理访问以提取敏感信息,或进行中间对手攻击。
Rapid7 物联网首席安全研究员 Deral Heiland称,这些漏洞可能进一步导致“关键 Wi-Fi 密码数据丢失,如果网络未正确分段,这可能导致更广泛的网络访问”。
Baxter 在一份报告中强调,这些问题只影响使用 Spectrum 输液系统无线功能的客户,但也警告说,如果将这些缺陷作为武器,可能会导致治疗延迟或中断。
该公司表示:“如果被利用,这些漏洞可能会导致 [无线电池模块] 操作中断、WBM 与无线网络断开连接、更改 WBM 的配置或暴露存储在 WBM 上的数据。 ”
Baxter建议客户确保所有数据和设置都从淘汰泵中删除,将输液系统置于防火墙后,实施网络分段,并使用强大的无线网络安全协议来防止未经授权的访问。
最新的发现再次表明,常见的软件漏洞继续困扰着医疗行业,考虑到它们对患者护理的潜在影响,这一现象令人担忧。
这不是第一次输液泵的安全漏洞被发现。今年3月初,Unit 42单元披露,绝大多数输液泵暴露近40个已知的漏洞,这凸显了保护医疗保健系统免受安全威胁的必要性。
安全漏洞将软件置于危险之中,医疗系统中的安全漏洞直接影响患者生命安全。数据显示,90%以上的网络安全事件和软件漏洞被利用有关,在软件开发期间通过静态代码检测技术可以帮助开发人员减少30%-70%的安全漏洞,大大提高软件安全性。
来源:
