医療機器の脆弱性が患者の身体的安全を危険にさらす可能性があることは既知の事実です.
セキュリティ研究者は、このような2つの新しい脆弱性を発見しました, そのうちの1つは重要であり、医療機器の完全な制御を可能にする可能性があります. 欠陥は、BectonDickinsonによるAlarisGatewayWorkstationにあります。, 流動性のある薬を投与するために利用されます.
脆弱性の1つ (として識別 CVE-2019-10959) デバイスのファームウェアコードにあります, 最高の重大度スコアが割り当てられます 10. 攻撃者はこのバグを利用して、デバイスを完全に制御することができます。. 他の欠陥 (CVE-2019-10962) それほど深刻ではありませんが、ワークステーションのWebベースの管理インターフェイスに影響を与えるため危険です。.
両方の脆弱性は、BectonDickinsonのAlarisGatewayWorkstationの特定のバージョンに影響を及ぼします (AGW), 輸液ポンプとシリンジポンプへの電力とネットワーク接続を提供します. AGWは米国では利用できないことに注意することが重要です, しかし、それはヨーロッパとアジア全体で使用されました.
CVE-2019-10959およびCVE-2019-10962の詳細
重大なCVE-2019-10959の脆弱性が影響します 1.1.3 建てる 10, 1.1.3 MRビルド 11, 1.2 建てる 15, 1.3.0 建てる 14, と 1.3.1 建てる 13. CVE-2019-10962は以下のバージョンを危険にさらします: 1.0.13, 1.1.3 建てる 10, 1.1.3 MRビルド 11, 1.1.5, と 1.1.6. さらに, 他のいくつかのAlarisデバイスも影響を受けます– GS, GH, CCとTIVAはすべてソフトウェアバージョンを実行しています 2.3.6, でリリース 2006.
重要なCVE-2019-10959の悪用に成功すると、攻撃者が悪意のあるファームウェアをリモートでインストールする可能性があります, その後、ワークステーションを無効にしたり、その機能を改ざんしたりする可能性があります. でも, エクスプロイトを実行する, 攻撃者は病院ネットワークへのアクセスも取得する必要があります. このタスクはそれほど難しいことではないかもしれません, 医療機関のセキュリティレベルを考慮する.
次のステップでは、攻撃者はCABと呼ばれるWindowsキャビネットファイルを作成する必要があります。. このファイルは、MicrosoftWindowsドライバーおよびシステムファイルに関連するデータを保存するためのアーカイブ形式です。. 攻撃の場合, 攻撃者は悪意のある実行可能ファイルでファイルをブービートラップします.
CVE-2019-10959攻撃の最も危険な部分 攻撃者は、特別な特権や認証なしで、ネットワークを介してAGWのファームウェアを更新できます。.
最終的, 攻撃者は、AGWデバイスに接続された特定のモデルの輸液ポンプによって調剤された薬剤の投与量を改ざんすることができます。.
CVE-2019-10962は, それほど深刻ではない欠陥, デバイスのIPアドレスを知っている攻撃者が、ブラウザインターフェイスを介して重要な情報にアクセスできるようになる可能性があります。, モニタリングデータなど, イベントログ, ユーザーガイドと構成設定
脆弱性は CyberMDXによって発見されました. 研究者たちはBectonDickinsonに個人的に連絡を取りました, そして会社は問題を確認しました. 両社は協力してバグの解決策を見つけました.