报告：近75%的输液泵受到严重漏洞的影响

一项对来自医院和医疗保健实体使用的20多万台联网输液泵的众包数据的分析显示，这些医疗设备中有75%存在安全漏洞，可能会使它们面临被利用的风险。

“这些缺陷包括暴露于约40个已知网络安全漏洞中的一个或多个，和/或他们在物联网设备的约70个其他已知安全缺陷中有一个或多个的警报，”42单元安全研究员Aveek Das在周三发布的一份报告中说。

Palo Alto Networks的威胁情报团队表示，他们从七家医疗设备制造商那里获得了扫描结果。除此之外，52.11%的被扫描输液泵易受两个已知漏洞的影响，这两个漏洞在2019年被披露为11个缺陷的一部分，统称为“紧急/11”和#8211；

• CVE-2019-12255（CVSS得分：9.8）；Wind River VxWorks的TCP组件中存在缓冲区溢出漏洞
• CVE-2019-12264（CVSS得分：7.1）；Wind River VxWorks的DHCP客户端组件中存在访问控制不正确的问题

Other important flaws impacting infusion pump are listed below –

• CVE-2016-9355（CVSS得分：5.3）；对Alaris 8015看护点进行物理访问的未经授权用户可能能够拆解设备以访问可移动闪存，从而允许对设备内存进行读写访问
• CVE-2016-8375（CVSS得分：4.9）；Alaris 8015护理点单元中的凭证管理错误，可利用该错误获取未加密的无线网络身份验证凭证和其他敏感技术数据
• CVE-2020-25165（CVSS得分：7.5）；Alaris 8015护理点单元中存在一个不正确的会话身份验证漏洞，该漏洞可能被滥用以对设备执行拒绝服务攻击
• CVE-2020-12040（CVSS得分：9.8）；Sigma光谱输液系统中敏感信息的明文传输
• CVE-2020-12047（CVSS得分：9.8）；Baxter Spectrum WBM中硬编码FTP凭证的使用
• CVE-2020-12045（CVSS得分：9.8）；Baxter Spectrum WBM中硬编码Telnet凭证的使用
• CVE-2020-12043（CVSS得分：9.8）；Baxter Spectrum WBM FTP服务在其预期到期时间后保持运行，直到重新启动
• CVE-2020-12041（CVSS得分：9.8）；巴克斯特频谱无线电池模块（WBM）允许通过Telnet进行数据传输和命令行接口

成功利用上述漏洞可能会导致与患者有关的敏感信息泄露，并允许攻击者未经授权访问设备，这就需要主动保护医疗系统免受威胁。

去年，McAfee披露了影响B.Braun的Infusomat太空大容量泵和空间站的安全漏洞，这些漏洞可能被恶意方滥用，在未经任何事先认证的情况下篡改药物剂量。

Das说，这一发现“突显了医疗行业需要加倍努力，防止已知的漏洞，同时努力遵循输液泵和医院网络的最佳实践。”。