美國食品藥物管理局(FDA) 對病患、醫療專家及其他相關業者就11種可能危害醫療裝置及醫院網路的漏洞發出了警報。這組漏洞被稱為 URGENT / 11,是在有超過十年歷史的第三方軟體組件IPnet內發現。
URGENT/11包括了六個可遠端執行程式碼(RCE)的嚴重漏洞,另外五個分類為分散式阻斷服務攻擊 (DDoS)和邏輯漏洞。阻斷服務攻擊和邏輯漏洞可能會導致裝置無法運作,而RCE漏洞能夠讓駭客遠端控制有問題的醫療裝置。
這些攻擊因為IPnet支援電腦間網路通訊而變成可能。儘管原始廠商已經不再支援IPnet,但仍有取得授權的製造商可以在不支援的情況下將軟體組件整合進裝置。也因此,這套軟體已經進入了各種醫療裝置或所使用的軟體應用程式。最嚴重的是,IPnet也被用於醫療產業即時作業系統(RTOS),這類系統因為可以即時回應事件而被用來提昇醫療裝置的效能和準確性。
這並非第一次關於URGENT/11的通報。美國國土安全部(DHS)也在7月發布了關於這組漏洞的通報,主要涵蓋了VxWorks所發現的漏洞。FDA在Armis研究人員發現同一組漏洞影響更多作業系統後發布了更詳細的更新。
下面列出受影響的作業系統。但FDA指出這些系統並非所有版本都包含IPnet和這組漏洞:
- GreenHills的INTEGRITY
- TRON的ITRON
- ENEA的Operation System Embedded(OSE)
- Microsoft的ThreadX
- Wind River的VxWorks
- IP Infusion的ZebOS
醫療產業其他的物聯網相關問題
FDA尚未收到URGENT/11被用於攻擊或造成實際不良影響的報告。但FDA敦促製造商及其他受影響業者採取預防措施來防護上述漏洞。甚至警告自己使用醫療裝置的病患注意裝置可疑變化並馬上做出回報。
網路安全風險對醫療產業有可怕的影響。不幸的是,業界引入新技術來改善流程和治療方法的代價就是會遭遇這些風險。已經有數份報告披露了如胰島素幫浦(insulin pump)之類重要裝置的漏洞,這漏洞讓駭客可以發射無線電波(RF)訊號來變更附近的幫浦設定,而某些麻醉機器的漏洞也讓駭客能夠遠端修改參數(即變更吸入氣體成分)讓病患處於危險。風險也可能來自意想不到的地方,如可用來散播惡意程式碼的醫療圖檔及可能洩露敏感資訊的傳呼機。
趨勢科技在2018年進行過探討聯網醫院此類風險的研究。除了暴露的裝置和系統外,研究還探討了供應鏈帶來的風險。供應鏈相關風險是現代醫療機構的重要考慮因素,因為聯網醫院更加依賴雲端系統、協力服務商和供應商。如本案例所示,第三方組件漏洞可能會導致安全問題。
製造安全的醫療裝置是製造商的責任,他們必須跟FDA及DHS等組織緊密合作來生產高品質和標準化的產品。美國國家標準暨技術研究院(NIST)也強調了供應鏈風險管理(SCRM)的重要性,特別是在防護關鍵基礎設施(如醫療)方面。
除了製造商外,其他相關者(代理商、醫療機構和使用者)也必須保護好各自的醫療裝置和系統。醫療機構應確保協力廠商有著跟自己一樣的高安全標準。使用者或病患應該要對自己的裝置負責,並且要注意是否有遭受入侵的跡象。
@原文出處:FDA Warns Against URGENT/11 Vulnerabilities Affecting Medical Devices and Hospital