因曝出可致无线劫持的安全漏洞,医疗植入物制造商 MedTronic 正在召回其胰岛素泵产品。
召回产品包括:MiniMed 508 及 Paradigm 胰岛素泵、CareLink USB 控制中心和协同使用的一些血糖监测设备。美国食品药品监督管理局 (FDA) 也于本周发布警告称,该公司此次曝出的漏洞可被附近黑客利用于在胰岛素泵上执行指令。
这些指令可控制胰岛素泵注入过量胰岛素,使患者低血糖头晕昏厥或突发癫痫;亦可减少胰岛素注入量,诱发严重的酮症酸中毒威胁患者生命。这和用扳手敲脑袋一样致命,但这次是只见 “扳手” 不见凶手。
Medtronic 称此次召回是自愿的,并会向发回胰岛素泵的患者提供替代设备——不受 CVE-2019-10964 安全漏洞影响的新型设备 MiniMed 670G。至于因各种原因无法获取新胰岛素泵的患者,该公司建议:不要将泵接入任何非 Medtronic 设备,并在不使用时拔下 CareLink USB 设备。
FDA 称,未授权用户(非病人、非看护、非医疗保健提供方)可利用这些网络安全漏洞无线连接附近的 MiniMed 胰岛素泵。
非法连接者可修改胰岛素泵设置,或过量注入胰岛素致病人陷入低血糖症,或停止胰岛素注入致病人罹患高血糖症和糖尿病酮症酸中毒。
安全研究人员发现,带漏洞的 MiniMed 胰岛素泵与其 CareLink 控制器之间的无线电通信并不安全。距离该胰岛素泵够近的攻击者可冒充 CareLink 设备,用软件定义无线电或类似工具包,向胰岛素泵无线发送有可能致命的指令。
研究人员向媒体透露:漏洞影响无线电功能。黑客可以采用自定义无线电协议,通过软件定义无线电就能利用这些漏洞。
内容来源:nana
https://www.aqniu.com/hack-geek/50733.html
在医疗行业,诸多的信息化系统在医院的应用越来越广泛,覆盖患者在医院就诊的各个环节,一旦发生类似于“胰岛素泵漏洞威胁生命安全”的事件,若未能及时处理,将会导致“致命”的严重后果,防范于未然,形成可靠的安全解决方案,打造一个从边界到核心的防护体系刻不容缓。优炫软件专注信息系统安全、数据库和数据安全领域,在信息系统安全、数据库和数据安全领域拥有多年技术积累,可针对不同行业提供整体解决方案,结合优炫软件的漏洞扫描系统、防病毒网关等产品,可为医疗行业信息安全保驾护航。
2019-07-04 08:59:48
