医院的输液泵中的虫子可能会让攻击者改变药物剂量

医疗保健公司Cyber​​MDX发现了两个影响流行输液泵的漏洞，允许劫持者远程访问和控制它。国土安全部已经披露了Alaris网关工作站中的漏洞，这是一种医疗泵，以可控的方式将液体输送到患者体内，详细说明了如何利用和修复它们。研究人员发现攻击者可以利用这些漏洞在运行Windows CE的泵的板载计算机上安装恶意软件，该计算机为设备供电和控制。

他们还发现，攻击者可以利用这些漏洞远程启动泵，并调整特定命令。例如，他们可以改变其配置，这将改变输注速度并改变患者获得的剂量。Cyber​​MDX告诉TechCrunch，创建一个攻击工具包“非常简单”，但实际的渗透过程可能相当复杂。它需要多个步骤，其中包括对特定工作站IP地址的了解。正如TC指出的那样，使用虫子实际杀死病人很难。

即便如此，建议医院通过更新软件来保护他们的设备 - 这些错误只能在较旧的固件上使用。特别是因为泵只是目前可以被劫持的医疗设备之一。最近医疗设备的漏洞已成为一个大问题，FDA要求制造商加强其网络安全措施，并保护心脏起搏器和胰岛素泵等产品免受网络攻击。

更新06/14/19美国东部时间上午11:20：输液系统背后的BD公司发言人告诉我们，Alaris Gateway工作站不是最广泛使用的泵，而且它不在美国销售。虽然可以通过更新软件来修复漏洞，但BD将为那些在接下来的60天内没有(或不能)更新软件的人推出一个补丁。

标签： 输液泵