FDA 表示:数百万使用旧程式码的医疗装置有遭攻击的可能

FDA 表示:数百万使用旧程式码的医疗装置有遭攻击的可能

美国食品药物管理局(Food and Drug Administration,FDA)针对已存在数十年的网路安全漏洞向医院和医疗服务供应商发出警告,这些漏洞意味着数以百万计的医疗装置多年来有招致攻击的可能风险。

7 月,安全公司 Armis Security 在支持网路通讯的软体元件 IPnet 发现名为 Urgent/11 的 11 个网路协定漏洞套件。FDA 表示,这些漏洞能让骇客控制某些医疗装置并改变功能,引发阻断服务攻击(DoS),或造成资讯外洩或逻辑缺陷,进而导致装置无法正常运作。

「Urgnet/11 非常严重,因为它让攻击者不需要与使用者互动的情况下接管装置,甚至可绕过防火墙和 NAT 解决方案等周边安全设备,」Arimis 研究人员在部落格写道:「这些具破坏性的特性使得这些漏洞能『繁殖蠕虫』,意味着它们可在网路散播恶意软体。」

从病人监视器、输液帮浦、摄影机到门铃摄影机都可能遭骇

本週,安全研究人员和政府官员警告表示,这些漏洞不仅存在于运行 IPnet 的平台,还存在其他包含相同之几十年前老旧程式码的不同平台。

「儘管原始软体供应商可能不再支援 IPnet 软体,但一些製造商拥有授权,亦即允许他们在不支援的情况下继续使用它,」美国食品药物管理局声明表示:「因此,该软体可合併到其他软体应用程式、设备和系统,这些应用程式、设备和系统可以用于今天仍在使用的各种医疗和工业设备。」

哪些类型的装置容易受到攻击?病人监视器、输液帮浦、摄影机、印表机、路由器、Wi-Fi 网状基地台与 Panasonic 门铃摄影机等等。但是幸运的是,BD Alaris 发言人表示,大规模的攻击是不可能的,因为骇客需要分别锁定每台装置。 此外,骇客也无法中断正在进行中的输液。

不过,此一发现也突显了医疗健康照护产业的一个问题:大多数医疗装置很难更新,除非发生严重问题,否则不会更新。

「这是个烂摊子,说明未管理嵌入式装置的问题,」Armis 研究副总裁 Ben Seri 指出:「在这 15 年,程式码发生巨大的变化,但漏洞是唯一保持不变。这就是个挑战。」

Armis 发布免费 urgent11-detector 工具,能检测任何作业系统的系统是否容易招致 Urgent/11 攻击。FDA 也在网站发布针对健康照护供应商、患者和护理人员的建议清单。