聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Palo Alto Networks 公司的安全研究员分析了20多万台联网医疗输液泵后发现，75%的输液泵中含有可遭攻击者利用的已知安全漏洞。这些设备中含有6个严重缺陷（CVSS评分9.8）且在2019年和2020年就已报告。

老旧的严重漏洞横行

研究人员从客户收集数据后发现，在所分析的20多万台医用输液泵中，易受严重漏洞攻击的输液泵数量介于3万台到至少10万台之间。

其中最普遍的严重缺陷是CVE-2019-12255，它是位于输液泵等嵌入式设备所使用的 VxWorks 实时操作系统 (RTOS) 中的内存损坏漏洞。该漏洞存在于52%的所分析设备中，约10.4万台。

CVE-2019-12255是“URGENT/11”系列漏洞中的其中一个。该系列漏洞是由提供联网设备安全性的公司 Armis 在2019年发现并报告的。负责维护 VxWorks RTOS 的Wind River 早在2019年7月19日就解决了所有这些问题。然而，严重拖延应用更新或根本不安装更新是嵌入式设备领域中的常见问题。

余下五个严重漏洞影响美国医疗公司 Baxter 国际的产品，是在2020年6月报告的，它们的CVSS评分均为9.8，均属于严重漏洞。

• CVE-2020-12040：影响17.83%的所分析设备

• CVE-2020-12047：影响17.83%的所分析设备

• CVE-2020-12045：影响15.23%的所分析设备

• CVE-2020-12043：影响15.23%的所分析设备

• CVE-2020-12041：影响15.23%的所分析设备

如同 Baxter 在当时发布的安全公告所言，如果攻击者已经位于网络，则可能利用其中大多数漏洞，这种情况并不少见。这些漏洞包括在未认证情况下以明文形式传输数据、硬编码凭据、权限不正确允许访问机密数据或更改 Wireless Battery Module 的网络配置。

无补丁，发布缓解措施

虽然目前这些漏洞尚无补丁，但Baxter公司发布了一系列缓解措施，降低利用风险并推荐转向不受这些漏洞影响的Spectrum IQ Infusion更新版系统。CISA发布安全公告表示利用这些漏洞的技能要求并不高。

Palo Alto Networks 公司发布博客文章推荐医疗提供商采用主动安全策略，确保设备免受已知和未知威胁，可从准确清点网络上的所有系统开始做起。

研究人员注意到，并非当前影响所分析输液泵的所有漏洞可用于远程攻击，但它们对“医疗组织机构的整体安全和患者安全而言是风险”。

推荐阅读

数据库配置不当，8.8亿条医疗记录遭泄露

黑莓 QNX 被曝严重的 BadAlloc 漏洞 影响数百万汽车和医疗设备

开源管理软件 OpenEMR 被曝多个漏洞，可被用于攻陷医疗基础设施

瑞士罗氏联网医疗设备存在漏洞 病人有风险

飞利浦医疗数据管理产品中被曝漏洞 心脏病患者敏感信息或遭泄露

200万墨西哥病患的医疗数据被暴露；OpenEMR系统存在多个漏洞

原文链接

https://www.bleepingcomputer.com/news/security/over-100-000-medical-infusion-pumps-vulnerable-to-years-old-critical-bug/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~