输液系统AGW漏洞安全通告
发布时间 2019-06-13漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
影响版本
受影响的版本
AWG 固件
漏洞概述
AGW(Alaris Gateway Workstations) 是 Becton Dickinson 的一款产品,用于和输液泵通信并在输血、麻醉和透析等各种治疗过程中提供动力支持。这些泵确保患者在某段时间内连续或间歇地接收到推荐剂量的药物。多种类似设备可被连接到单个AWG,向单个个体提供各种医疗药物。
研究人员在用于传输液体药物的AGW中发现了如下两个漏洞:
AGW的固件可被远程替换为自定义版本的固件。和目标系统位于同一网络的攻击者能够“更新并操纵在压缩库中存储文件的 CAB 文件并使用正确格式的 Windows CE。”具有这种访问权限,攻击者能够修改某些连接至 AWG 的输液泵型号开出的药物剂量,这种开具药物的方式在医院病房和重症监护室很常见。
存在于AWG的web 接口中。它的攻击复杂度较低,而且能够导致黑客访问设备监控、事件日志和设备配置。利用该漏洞只需目标 AWG 的 IP 地址,从而使得已经和目标位于同一网络的人能够轻易得手。
漏洞验证
暂无POC/EXP。
修复建议
降低风险的方法是安装最新的 AWG 固件版本,当前是1.3.2或1.6.1;网络隔离;并确保只有可信方能够访问网络。
参考链接
京公网安备11010802024551号