美國食品藥物管理局(Food and Drug Administration,FDA)針對已存在數十年的網路安全漏洞向醫院和醫療服務供應商發出警告,這些漏洞意味著數以百萬計的醫療裝置多年來有招致攻擊的可能風險。
7 月,安全公司 Armis Security 在支持網路通訊的軟體元件 IPnet 發現名為 Urgent/11 的 11 個網路協定漏洞套件。FDA 表示,這些漏洞能讓駭客控制某些醫療裝置並改變功能,引發阻斷服務攻擊(DoS),或造成資訊外洩或邏輯缺陷,進而導致裝置無法正常運作。
「Urgnet/11 非常嚴重,因為它讓攻擊者不需要與使用者互動的情況下接管裝置,甚至可繞過防火牆和 NAT 解決方案等周邊安全設備,」Arimis 研究人員在部落格寫道:「這些具破壞性的特性使得這些漏洞能『繁殖蠕蟲』,意味著它們可在網路散播惡意軟體。」
從病人監視器、輸液幫浦、攝影機到門鈴攝影機都可能遭駭
本週,安全研究人員和政府官員警告表示,這些漏洞不僅存在於運行 IPnet 的平台,還存在其他包含相同之幾十年前老舊程式碼的不同平台。
「儘管原始軟體供應商可能不再支援 IPnet 軟體,但一些製造商擁有授權,亦即允許他們在不支援的情況下繼續使用它,」美國食品藥物管理局聲明表示:「因此,該軟體可合併到其他軟體應用程式、設備和系統,這些應用程式、設備和系統可以用於今天仍在使用的各種醫療和工業設備。」
哪些類型的裝置容易受到攻擊?病人監視器、輸液幫浦、攝影機、印表機、路由器、Wi-Fi 網狀基地台與 Panasonic 門鈴攝影機等等。但是幸運的是,BD Alaris 發言人表示,大規模的攻擊是不可能的,因為駭客需要分別鎖定每台裝置。 此外,駭客也無法中斷正在進行中的輸液。
不過,此一發現也突顯了醫療健康照護產業的一個問題:大多數醫療裝置很難更新,除非發生嚴重問題,否則不會更新。
「這是個爛攤子,說明未管理嵌入式裝置的問題,」Armis 研究副總裁 Ben Seri 指出:「在這 15 年,程式碼發生巨大的變化,但漏洞是唯一保持不變。這就是個挑戰。」
- 一些可能受感染的操作包括:
- VxWorks(Wind River 美商溫瑞爾)
- 嵌入式作業系統(ENEA)
- INTEGRITY(Green Hills)
- ThreadX(Microsoft 微軟)
- ITRON(TRON Forum)
Armis 發布免費 urgent11-detector 工具,能檢測任何作業系統的系統是否容易招致 Urgent/11 攻擊。FDA 也在網站發布針對健康照護供應商、患者和護理人員的建議清單。
(首圖來源:Flickr/The U.S. Food and Drug Administration CC BY 2.0)
