醫療行業不太平,麻醉也能通過網路操作

隨著眾多行業的數字化轉型成功,很多傳統的行業也接入了互聯網體系中,其中就包括醫療行業。而近年以來,網路帶給醫療的不僅僅是便利,還有無盡的危機。

醫療行業不太平,麻醉也能通過網路操作

最近,醫療行業又曝出了事故:某些醫院中使用的麻醉機器的固件存在漏洞,能夠通過外部介入改變正常功能,調整其吸入物質的成分比例。

據悉,受到該漏洞影響的機器是GE Aestiva和GE Aespire麻醉系統,型號分別是7100和7900,來自GE Healtecare(屬於通用電氣公司),並且能夠通過本地網路連接和發送命令。只要攻擊者與該設備處於同一網路內,並且不需要特殊權限,就能夠利用該漏洞,同時,如果麻醉系統連接到了終端服務器,則可能造成更大的損失。

無需身份驗證或特殊權限

CyberMDX是一家專注於醫療設備網路安全的企業,這個漏洞也是由其研究負責人Elad Luz發現的。他表示,這種攻擊存在的可能性是很大的,由於不需要身份驗證,因此不發生用戶交互也可能做到,這種針對麻醉設備的攻擊不僅可以遠程調節麻醉氣體混合物的成分,還能控制其警報系統,改變系統的時間和日期,以及改變氣壓。

醫療行業不太平,麻醉也能通過網路操作

一般來說,麻醉劑的濃度會根據患者的不同而單獨制定,而麻醉的效果和患者的反應一般也都是醫生關注的問題之一,出於這個原因,麻醉系統通常都會通過網路連接來持續檢測患者的狀態。因此,麻醉氣體的濃度發生變化可能會造成非常嚴重的後果。

Luz表示,能夠控制警報系統和改變氣體濃度這兩個效果太過imba,另外雖然改變系統時間雖然影響稍微小一些但也能造成很嚴重的後果,如果反映的是在手術過程中的記錄,這個時候時間戳被改了,這誰頂得住你說。

因此,根據研究人員的說法,利用這個漏洞能造成以下影響:

氣體成分設定:設定吸入的O₂(氧氣)、CO₂ (二氧化碳)、N₂O(一氧化二氮,俗稱笑氣)和麻醉劑的成分比例,並且能夠設定氣壓和選擇麻醉劑類型;

警報消音:當患者狀況出現異常的時候機器會發出巨大的噪音作為提醒,這個漏洞恰好就能將這個警報調整為靜音模式;

改變系統的日期和時間。

雖然目前這個漏洞給出的威脅評級是5.3分,僅能算為中低危漏洞,但實際上,出現在醫療設備中的每一次安全故障都能造成十分嚴重的後果。

該公司已經通過對實際設備進行真實測試來進行驗證,確認了上述操作的可行性並表示在真實醫院環境中應當盡量避免這類問題的發生。

除此之外,6月中旬CyberMDX還發布過另一個有關Alaris Gateway Workstation(美國碧迪公司的醫療產品,一款智能輸液系統)固件漏洞的信息,該漏洞能夠允許攻擊者完全控制與其連接的任何設備。

當地時間7月9日,美國國土安全局通過ICS-CERT發布了關於Aestiva和Aespire麻醉機器漏洞的信息,並提供了解決建議:

使用安全終端通過串行端口將麻醉系統連接到網路,能夠有效提高安全性,可防止未經授權的遠程訪問。同時需要增加加密通信、VPN服務、身份驗證、活動記錄、網路控制以及安全審計和設備連接管理功能。

*參考來源:bleepingcomputer,Karunesh91編譯,轉載請註明來自FreeBuf.COM

醫療行業不太平,麻醉也能通過網路操作

精彩推薦

醫療行業不太平,麻醉也能通過網路操作

醫療行業不太平,麻醉也能通過網路操作

醫療行業不太平,麻醉也能通過網路操作

醫療行業不太平,麻醉也能通過網路操作

醫療行業不太平,麻醉也能通過網路操作

醫療行業不太平,麻醉也能通過網路操作

醫療行業不太平,麻醉也能通過網路操作


Leave a Reply

Your email address will not be published.


*