可以远程控制设备以提供危及生命的麻醉剂剂量,在NHS使用的许多GE Healthcare设备中发现了一个安全漏洞,可能允许黑客远程控制输送给患者的麻醉剂量。
根据网络安全公司CyberMDX的说法,可远程利用的漏洞需要“技术水平低,无法利用”,并且可能使黑客能够使设备警报静音,改变日期和时间设置,调整麻醉剂剂量并切换麻醉剂。国土安全部周二。
“成功利用此漏洞可能使攻击者能够远程修改GE Healthcare麻醉设备参数,”CISA表示。“这是由于将GE Healthcare麻醉设备串行端口扩展到TCP / IP网络的某些终端服务器实施的配置暴露所致。”
总部位于的医疗保健产品供应商通用电气医疗集团(GE Healthcare)告诉,没有“直接患者风险”。然而,根据CyberMDX,如果只是简单地连接到医院的网络,可以远程控制设备。
受影响的机器包括GE Aestiva和Aespire版本7100和7900.诺丁汉大学医院(NUH)向证实,“少数”易受攻击的设备在其医院中活跃,但正在逐步淘汰。
“没有一台麻醉机连接到互联网或NUH网络,因此NUH内这些机器的风险很小,”一位发言人补充道。
麻醉师通常在严格的规则下操作,要求他们准确记录程序,剂量和生命体征等。这些设备具有网络功能,因此专家可以从机器获得准确的读数,包括其状态和操作,严重依赖于日期和时间测量。
GE提供了一些有关缓解策略的建议,包括使用提供强大加密的安全终端服务器,VPN和其他功能来防止攻击者访问设备。
它还建议组织应采用行业最佳实践,包括网络分段,VLAN和设备隔离等安全部署措施,以增强现有的安全措施。
国土安全部还建议尽量减少所有应该在防火墙后面保护的设备的网络暴露。与GE相呼应,它表示应尽可能隔离设备,并禁用不必要的帐户协议和服务。
“虽然Aestiva和Aespire设备在本研究中得到了突出体现,但这些类型的漏洞在医疗设备中相当普遍,”Synopsys的Defensics高级经理Rikke Kuipers说。“正确,安全地实施网络协议具有挑战性,但当它们用于医疗设备等生命或安全关键系统时,这一点尤其重要。”
该案件与2016年暴露的强生公司案件极为相似,涉及黑客能够远程控制医院胰岛素泵给药的剂量,可能会产生致命的后果。
专家当时表示,该漏洞利用了该设备中较差的加密标准,该公司建议客户应停止使用遥控设备或手动重新编程泵以限制胰岛素用量。