Baxter报告的新漏洞；s Internet连接的输液泵

Baxter的互联网连接输液泵存在多个安全漏洞，医疗专业人员在临床环境中使用该泵向患者配药。

美国网络安全和基础设施安全局（CISA）在一份协调咨询中表示：“成功利用这些漏洞可能导致敏感数据的访问和系统配置的改变”。

输液泵是医院用于将药物和营养直接输送到患者循环系统的互联网设备。

网络安全公司Rapid7发现并于2022年4月报告给Baxter的四个有问题的漏洞影响了以下Sigma频谱注入系统

• Sigma Spectrum v6.x型号35700BAX
• Sigma Spectrum v8.x型号35700BAX2
• Baxter Spectrum IQ（v9.x）型号35700BAX3
• Sigma Spectrum LVP v6.x无线电池模块v16、v16D38、v17、v17D19、v20D29至v20D32和v22D24至v22D28
• Sigma Spectrum LVP v8.x无线电池模块v17、v17D19、v20D29至v20D32和v22D24至v22D28
• 带无线电池模块v22D19至v22D28的Baxter Spectrum IQ LVP（v9.x）

未发现的缺陷列表如下：

• CVE-2022-26390（CVSS评分：4.2）-以未加密格式存储网络凭证和患者健康信息（PHI）
• CVE-2022-26392（CVSS评分：2.1）-运行Telnet会话时存在格式字符串漏洞
• CVE-2022-26393（CVSS评分：5.0）-处理Wi-Fi SSID信息时的格式字符串漏洞，以及
• CVE-2022-26394（CVSS分数：5.5）-缺少与网关服务器主机的相互身份验证

成功利用上述漏洞可能会导致远程拒绝服务（DoS），或使具有设备物理访问权限的攻击者能够提取敏感信息或进行中间对手攻击。

Rapid7物联网首席安全研究员德拉尔·海兰德（Deral Heiland）告诉《黑客新闻》（The Hacker News），这些漏洞可能会进一步导致“关键Wi-Fi密码数据丢失，如果网络没有被正确分割，可能会导致更大的网络接入”。

巴克斯特在一份咨询中强调，这些问题只会影响使用频谱输液系统无线功能的客户，但也警告说，如果缺陷被武器化，可能会导致治疗延迟或中断。

“如果被利用，这些漏洞可能会导致[无线电池模块]运行中断、WBM与无线网络断开连接、WBM配置更改或WBM上存储的数据泄露，”该公司表示。

最新的发现再次表明了常见的软件漏洞如何继续困扰着医疗行业，鉴于其对患者护理的潜在影响，这是一个令人担忧的发展。

这就是说，这不是输液泵的安全缺陷第一次被扫描。今年3月初，Palo Alto Networks第42部门披露，绝大多数输液泵都暴露在近40个已知漏洞中，这突出表明需要保护医疗系统免受安全威胁。

Baxter建议客户确保所有数据和设置从退役泵中删除，将输液系统置于防火墙后，实施网络分割，并使用强大的无线网络安全协议防止未经授权的访问。

Heiland说，“实施流程和程序以管理医疗技术的反收购，[并]确保在转售或转让给另一方之前，从设备中清除PII和/或配置数据，如Wi-Fi、WPA、PSK等，这一点至关重要”。

“在包含MedTech设备的医疗区域内和周围，以及可以访问biomed网络的区域，保持强大的物理安全。对所有biomed网络实施网络分割，以防止其他一般或商业网络与MedTech装置通信”。