最近的网络安全研究中发现,在临床中常用的百特联网输液泵存在多个安全漏洞,百特联网输液泵常用于自动给患者注射药物,成功利用这些漏洞可能导致访问敏感数据和更改系统配置。

网络安全研究人员在2022年4月向百特公司报告了这4个漏洞:

  • CVE-2022-26390(CVSS 评分:4.2)- 以未加密格式存储网络凭据和患者健康信息 (PHI);
  • CVE-2022-26392(CVSS 评分:2.1) – 运行Telnet会话时的格式字符串漏洞;
  • CVE-2022-26393(CVSS 评分:5.0) – 处理 Wi-Fi SSID 信息时的格式字符串漏洞;
  • CVE-2022-26394(CVSS 评分:5.5) – 缺少与网关服务器主机的相互身份验证;

以上4个漏洞影响百特公司如下产品和型号:

  • Sigma Spectrum v6.x 型号 35700BAX;
  • Sigma Spectrum v8.x 型号 35700BAX2;
  • Baxter Spectrum IQ (v9.x) 型号 35700BAX3;
  • Sigma Spectrum LVP v6.x 无线电池模块 v16、v16D38、v17、v17D19、v20D29 至 v20D32 和 v22D24 至 v22D28;
  • Sigma Spectrum LVP v8.x 无线电池模块 v17、v17D19、v20D29 至 v20D32 和 v22D24 至 v22D28;
  • Baxter Spectrum IQ LVP (v9.x) 与无线电池模块 v22D19 至 v22D28;

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,成功利用上述漏洞可能会导致远程拒绝服务 (DoS),或者使具有设备物理访问权限的攻击者能够提取敏感信息或执行中间对手攻击。这些漏洞可能进一步导致关键 Wi-Fi 密码数据丢失,如果网络未正确分段,这可能导致更大的网络访问。

百特公司表示,这些漏洞只影响使用 Spectrum Infusion System 无线功能的客户,如果漏洞被利用,这些漏洞可能会导致 [无线电池模块] 操作中断、WBM 与无线网络断开连接、更改 WBM 的配置或暴露存储在 WBM 上的数据。

近年来,高危安全漏洞持续困扰这医疗行业,根据网络安全研究人员的统计,市面上的输液泵曝光了近40个已知安全漏洞,医疗设备关乎患者的生命健康,这使得医疗信息安全成为了当前备受关注的话题。

网络安全研究人员建议,确保废弃的输液泵中的数据和设置已清空删除,将输液系统置于防火墙后面,实施网络分段,并使用强大的无线网络安全协议来防止未经授权的访问。