欢迎光临
我们一直在努力

IoMT报告 | 75% 的联网医用输液泵存在安全风险

一项报告显示,2021年全球大概有320万台联网医疗设备,到2026年,这个数字将达到740万。很多设备在联网或者在生产初期没有或者没有充分考虑到安全问题,所以导致在使用过程中存在不同的安全风险。以可联网控制、向患者输送药物和液体的智能输液泵为例,一旦存在安全漏洞,就可能危及患者生命或暴露患者的敏感数据。

2021年《我是极客》第三集中,选手展示了存在漏洞的胰岛素泵可能带来的风险

网络安全公司 Palo Alto Networks 近期对医院及其他医疗保健机构超过20万台智能输液泵进行了调查,发现75%的输液泵设备存在已知的安全漏洞,包括40种已知的安全漏洞/风险,以及IoT设备常见的70种缺陷。其中 52% 的联网输液泵最容易受到2019年就公开的两种漏洞(CVE-2019-12255CVE 2019-12264)的影响,存在于TCP/IP 堆栈中 

联网输液泵中常见的漏洞类型

对发现的几十种漏洞进行分析后,根据其造成的影响进行分类,最常见的是敏感信息泄露、未经授权的访问和溢出。还有一些漏洞来自第三方TCP/IP堆栈,但可能会影响设备及其操作系统。

分析20多万台输液泵后发现的10个最普遍的漏洞

敏感信息泄露

输液泵系统及医疗物联网(IoMT)设备中的大量漏洞都可能造成敏感信息泄露,例如操作信息、患者数据或网络配置凭证等。攻击者获取到不同程度的访问权限,就可以利用这些漏洞,获取信息。例如,攻击者可以通过中间人攻击,远程利用明文通信通道中存在的CVE-2020-12040,访问输液泵和服务器之间的所有通信信息。而可以物理访问输液泵设备的攻击者可以利用CVE-2016-9355和CVE-2016-8375漏洞获取敏感信息。

溢出和未经授权的访问

利用这一类型的漏洞,未经身份验证的用户获取对设备的访问权限,或者以某种方式直接发送网络流量,导致设备无响应或失控,进而造成更严重的后果。除了漏洞造成的未经授权访问,很多医院、设备使用默认凭证,也是攻击者能轻易访问设备的原因。

第三方TCP/IP堆栈中的漏洞

目前许多IoMT(和IoT)设备及其操作系统都会使用网络堆栈等第三方跨平台库,这些库相关的漏洞也可能影响到设备的安全。例如,存在于嵌入式即时操作系统VxWorks中的 CVE-2019-12255和CVE 2019-12264是此次调查发现风险等级排名最高的两个漏洞。攻击者只要发送一个具有操纵TCP紧急指标的特定TCP封包到有漏洞的设备上,就能触发CVE-2019-12255,执行任意程序或访问网络,而且完全不需要用户的交互或通过认证。开发VxWorks的Wind River在2019年7月就发布了修复方案,不过从研究结果来看,很多设备显然并没有进行修复。

此外,调查还发现输液泵中常见的其他安全问题包括:自外部发送的大量TCP充值数据包、无效的用户代理字符串、通过HTTP发送未加密的登录信息、在HTTP上使用默认用户名密码登录、可疑的传输端口传输流量、设备通过HTTP连入外部网络、通过FTP匿名登录等……

如何改进?

过去几年,医疗设备制造商、安全研究人员、网络安全供应商、监管机构为医疗设备的安全也做出了相应努力。不过,输液泵的平均寿命为 8 到 10 年,所以传统设备及技术依旧会遗留一些问题。相关人员的安全意识不足、不规范的开发流程和使用方式也会对设备造成影响,因此,Palo Alto 对改进IoMT设备的安全现状也提出了一些建议,例如全面掌握设备使用情况评估整体风险、应用风险降低策略(例如”零信任“策略)等

IoMT设备数量在逐年增加,设备本身、采用的第三方协议/库以及使用过程等都可能存在风险,新的漏洞也有可能出现,联网医疗设备的安全防护,依旧需要从多个层面去努力。

参考来源:

https://unit42.paloaltonetworks.com/infusion-pump-vulnerabilities/

https://iottechnews.com/news/2022/jan/04/iomt-devices-smart-hospitals-to-exceed-7m-by-2026/

GeekPwn 2022 报名进行时,6月24日参赛意向报名截止。如果你恰好对物联网安全有所研究,不要犹豫,欢迎报名展现、分享你的研究成果,用技术和实力为自己代言!

赛事咨询

Email: cfp@geekpwn.org

WeChat: l2986165514

点阅读原文 

马上报名

赞(1) 打赏
未经允许不得转载:黑客技术网 » IoMT报告 | 75% 的联网医用输液泵存在安全风险
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏