安全研究人员发现在流行的医院麻醉和呼吸机中使用的网络协议存在漏洞,他们表示如果被利用可能会被恶意篡改设备。医疗保健公司CyberMDX的研究人员表示,GE使用的协议如果Aestiva和GE Aespire设备连接到医院网络上的终端服务器,则可以使用它们发送命令。研究人员说,这些命令可以使警报静音,改变记录 - 并可能被滥用以改变呼吸器和麻醉设备中使用的吸入气体的成分。
美国国土安全部周二发布了一份咨询报告称这些漏洞需要“低技术水平”才能开发。
“这些设备使用专有协议,”CyberMDX的研究负责人Elad Luz说。“找出这些命令非常简单。”
Luz说,其中一个命令强制设备使用旧版本的协议 - 设备中仍然存在该协议以确保向后兼容性。更糟糕的是,没有一个命令需要任何身份验证,他说。
“在每个版本上,您都可以先发送命令,要求将协议版本更改为最早版本,然后发送更改气体成分的请求,”他说。
“只要设备通过终端服务器移植到网络,任何熟悉通信协议的人都可以强制恢复并向机器发送各种非法命令,”他说。
换句话说,如果设备未连接到网络,则设备会更安全。
CyberMDX在2018年10月底披露了GE的漏洞。通用电气表示Aestiva和Aespire型号的7100和7900版本受到影响。这两种型号都部署在美国各地的医院和医疗机构中
GE发言人Amy Sarosiek告诉TechCrunch:“经过正式的风险调查,我们已经确定这种潜在的实施方案不会引入临床危害或直接导致患者风险,麻醉设备本身也不存在漏洞。”
通用电气表示,其评估基于国际医疗安全标准对患者护理没有风险,并根据所披露的问题测试参数修改的最大变化。发言人说:“我们的评估并不能让我们相信存在患者安全问题。”
该公司拒绝透露有多少设备受到影响,但在2009年之后销售的系统上不再能够修改气体成分。
这是CyberMDX发布的第二套漏洞。6月,该研究公司发现了一种广泛使用的医用输液泵的漏洞。