Một phân tích dữ liệu thu thập từ hơn 200.000 máy bơm truyền dịch được kết nối mạng được sử dụng trong các bệnh viện và cơ sở chăm sóc sức khỏe đã tiết lộ rằng 75% các thiết bị y tế đó chứa các điểm yếu về bảo mật có thể khiến chúng có nguy cơ bị lợi dụng.
“Những thiếu sót này bao gồm việc tiếp xúc với một hoặc nhiều trong số 40 lỗ hổng bảo mật mạng đã biết và / hoặc cảnh báo rằng chúng có một hoặc nhiều trong số 70 loại thiếu sót bảo mật đã biết khác đối với các thiết bị IoT”, nhà nghiên cứu bảo mật của Đơn vị 42, Aveek Das cho biết trong một báo cáo được xuất bản. Thứ tư.
Nhóm tình báo về mối đe dọa của Palo Alto Networks cho biết họ đã thu được bản quét từ bảy nhà sản xuất thiết bị y tế. Trên hết, 52,11% tất cả các máy bơm truyền dịch được quét dễ mắc phải hai lỗ hổng đã biết đã được tiết lộ vào năm 2019 như một phần của 11 lỗ hổng được gọi chung là “URGENT / 11” –
CVE-2019-12255 (Điểm CVSS: 9,8) – Một lỗ hổng tràn bộ đệm trong thành phần TCP của Wind River VxWorks
CVE-2019-12264 (Điểm CVSS: 7.1) – Sự cố với kiểm soát truy cập không chính xác trong thành phần máy khách DHCP của Wind River VxWorks
Các sai sót quan trọng khác ảnh hưởng đến bơm dịch truyền được liệt kê dưới đây:
CVE-2016-9355 (Điểm CVSS: 5,3) – Người dùng trái phép có quyền truy cập vật lý vào thiết bị Điểm chăm sóc của Alaris 8015 có thể tháo rời thiết bị để truy cập bộ nhớ flash rời, cho phép truy cập đọc và ghi vào bộ nhớ thiết bị
CVE-2016-8375 (Điểm CVSS: 4,9) – Một lỗi quản lý thông tin xác thực trong các đơn vị Điểm chăm sóc của Alaris 8015 có thể bị lợi dụng để lấy thông tin xác thực mạng không dây không được mã hóa và dữ liệu kỹ thuật nhạy cảm khác
CVE-2020-25165 (Điểm CVSS: 7,5) – Một lỗ hổng xác thực phiên không phù hợp trong các đơn vị Điểm chăm sóc của Alaris 8015 có thể bị lạm dụng để thực hiện một cuộc tấn công từ chối dịch vụ trên thiết bị
CVE-2020-12040 (Điểm CVSS: 9,8) – Truyền rõ ràng các thông tin nhạy cảm trong Hệ thống truyền dịch phổ Sigma
CVE-2020-12047 (Điểm CVSS: 9,8) – Sử dụng thông tin xác thực FTP được mã hóa cứng trong Baxter Spectrum WBM
CVE-2020-12045 (Điểm CVSS: 9,8) – Sử dụng thông tin đăng nhập Telnet được mã hóa cứng trong Baxter Spectrum WBM
CVE-2020-12043 (Điểm CVSS: 9,8) – Dịch vụ Baxter Spectrum WBM FTP vẫn hoạt động sau thời gian hết hạn dự kiến cho đến khi nó được khởi động lại
CVE-2020-12041 (Điểm CVSS: 9,8) – Mô-đun pin không dây Baxter Spectrum (WBM) cho phép truyền dữ liệu và giao diện dòng lệnh qua Telnet
Việc khai thác thành công các lỗ hổng nói trên có thể dẫn đến rò rỉ thông tin nhạy cảm liên quan đến bệnh nhân và cho phép kẻ tấn công truy cập trái phép vào các thiết bị, đòi hỏi hệ thống y tế phải được bảo vệ chủ động trước các mối đe dọa.
Năm ngoái, McAfee đã tiết lộ các lỗ hổng bảo mật ảnh hưởng đến Máy bơm khối lượng lớn Infusomat Space Large của B. Braun có thể bị các bên độc hại lạm dụng để giả mạo liều lượng thuốc mà không cần xác thực trước.
Phát hiện này “nhấn mạnh sự cần thiết của ngành chăm sóc sức khỏe để tăng gấp đôi nỗ lực để bảo vệ khỏi các lỗ hổng đã biết, đồng thời chăm chỉ tuân theo các phương pháp thực hành tốt nhất đối với máy bơm truyền dịch và mạng lưới bệnh viện”, Das nói.
.
