美国食品药物管理局(Food and Drug Administration,FDA)针对已存在数十年的网络安全漏洞向医院和医疗服务供应商发出警告,这些漏洞意味着数以百万计的医疗装置多年来有招致攻击的可能风险。
7 月,安全公司 Armis Security 在支持网络通讯的软件元件 IPnet 发现名为 Urgent/11 的 11 个网络协定漏洞套件。FDA 表示,这些漏洞能让骇客控制某些医疗装置并改变功能,引发阻断服务攻击(DoS),或造成资讯外泄或逻辑缺陷,进而导致装置无法正常运作。
“Urgnet/11 非常严重,因为它让攻击者不需要与使用者互动的情况下接管装置,甚至可绕过防火墙和 NAT 解决方案等周边安全设备,”Arimis 研究人员在部落格写道:“这些具破坏性的特性使得这些漏洞能‘繁殖蠕虫’,意味着它们可在网络散播恶意软件。”
从病人监视器、输液泵、摄影机到门铃摄影机都可能遭骇
本周,安全研究人员和-官员警告表示,这些漏洞不仅存在于运行 IPnet 的平台,还存在其他包含相同之几十年前老旧程式码的不同平台。
“尽管原始软件供应商可能不再支援 IPnet 软件,但一些制造商拥有授权,亦即允许他们在不支援的情况下继续使用它,”美国食品药物管理局声明表示:“因此,该软件可合并到其他软件应用程序、设备和系统,这些应用程序、设备和系统可以用于今天仍在使用的各种医疗和工业设备。”
哪些类型的装置容易受到攻击?病人监视器、输液泵、摄影机、打印机、路由器、Wi-Fi 网状基地台与 Panasonic 门铃摄影机等等。但是幸运的是,BD Alaris 发言人表示,大规模的攻击是不可能的,因为骇客需要分别锁定每台装置。 此外,骇客也无法中断正在进行中的输液。
不过,此一发现也突显了医疗健康照护产业的一个问题:大多数医疗装置很难更新,除非发生严重问题,否则不会更新。
“这是个烂摊子,说明未管理嵌入式装置的问题,”Armis 研究副总裁 Ben Seri 指出:“在这 15 年,程式码发生巨大的变化,但漏洞是唯一保持不变。这就是个挑战。”
- 一些可能受感染的操作包括:
- VxWorks(Wind River 美商温瑞尔)
- 嵌入式操作系统(ENEA)
- INTEGRITY(Green Hills)
- ThreadX(Microsoft 微软)
- ITRON(TRON Forum)
Armis 发布免费 urgent11-detector 工具,能检测任何操作系统的系统是否容易招致 Urgent/11 攻击。FDA 也在网站发布针对健康照护供应商、患者和护理人员的建议清单。
- Millions of medical devices using old code are open to attack, FDA says
(首图来源:Flickr/The U.S. Food and Drug Administration CC BY 2.0)
