知名醫療設備大廠GE Health出產的兩款麻醉機,被安全研究人員發現含有漏洞,可讓連上同一網路的攻擊者遠端變更系統設定,包括藥劑、氣體、關閉警鈴和機器數值。但是GE認為漏洞並非出在機器本身,並未發布修補程式。

安全廠商CyberMDX發現,編號CVE-2019-10966的漏洞為一種驗證不當漏洞,出在GE Aestiva及 GE Aespire以序列埠(如USB)透過終端伺服器連上TCP/IP網路時,這二款麻醉機可被遠端攻擊者操弄。

當上述GE裝置連結的終端伺服器剛好也有漏洞,攻擊者也連上醫院同一網路時,攻擊者可傳送回溯相容指令,使GE麻醉機降回到較不安全的舊版通訊協定,進而使其以在未經授權情況下修改裝置參數。此外,若配合使用終端伺服器,駭客不需知道麻醉機的IP或實際位置也能發動攻擊。

一旦成功開採CVE-2019-10966,攻擊者可以遠端傳送三類指令,包括氣體組成輸入值、警鈴、及裝置日期時間等。這意謂著駭客能做出非常危險的事,像是關閉警鈴、變更機器的日期時間、變更麻醉劑和病患吸入/呼出氣體(氧氣、二氧化碳、一氧化二氮)的濃度值、操弄氣壓計數值和麻醉劑類別選擇等。

受影響的裝置包括GE Aestiva及Aespire 7100,以及GE Aestiva及Aespire 7900共4款裝置。

該漏洞可於本地網路上遠端開採及開採技能需求不高,風險被列為中度的CVSSS v3 5.3(滿分10分)。

CyberMDX於2018年10月通報GE及主管機關,但GE認為漏洞並不在其裝置上,因此也沒有發佈修補程式。ZDNET引述GE的說法指出,漏洞只出在其裝置的序列埠透過終端伺服器連到TCP/IP網路的通訊協定中;若麻醉機不連上醫院網路就不會被開採。

但GE仍建議醫療院所要確保終端伺服器的安全性,並配合網路分區(network segmentation)、VLAN、裝置隔離等措施強化安全。GE並說計畫對此漏洞提供更新訊息。

美敦力(Medtronic)本月初因胰島素幫浦產品含有安全漏洞,有機會讓駭客竄改裝置設定並控制胰島素的輸送,而宣布全面召回MiniMed 508與MiniMed Paradigm系列。


Advertisement

更多 iThome相關內容