售至全球50个国家的医疗用输液泵含有远端攻击漏洞

锁定医疗装置的资安业者CyberMDX，近日揭露了知名医疗装置制造商Becton, Dickinson and Company（BD）所生产的、用来支撑输液泵的Alaris闸道工作站（Alaris Gateway Workstation）含有两个安全漏洞，其中一个漏洞允许骇客直接关闭装置、安装恶意程式，甚至窜改药物的剂量或输液速度。

医疗用输液泵的用途非常广泛，不管是液体治疗、输血、化疗、透析或麻醉都得仰赖它，而Alaris闸道工作站则是这些泵的支架，以替泵供电，并具备连网能力，同时可支援多个输液泵。

不过，CyberMDX研究团队的负责人Elad Luz发现Alaris闸道工作站含有严重的CVE-2019-10959漏洞，将允许骇客不需取得授权就能自远端安装山寨版的固件更新，进而关闭工作站、破坏输液泵的电力输送、伪造输液泵的状态资讯，甚至是窜改药物的剂量或输液速度，等同于危及患者的生命。

CVE-2019-10959被归类为风险等级最高的CVSS v3 10.0漏洞，且美国国土安全部旗下的工业控制系统紧急应变小组（ICS-CERT）也已针对该漏洞发出警告。

另一个同样藏匿在Alaris闸道工作站的安全漏洞则是CVE-2019-10962，主要是其Web管理系统并未设计凭证机制，因此只要知道它的IP地址就能登入，而使得骇客能够监控输液泵的状态、纪录，变更闸道工作站的配置，或是重启闸道工作站。

BD在得知这两个漏洞之后，已借由固件更新修补了它们，值得注意的是，有许多既有的固件版本都含有这两个漏洞，用户应尽速更新。

BD虽未公布受影响的装置总数，但对外透露Alaris闸道工作站已售至全球50个国家，其中有3个国家的出货量多达2,000台，8个超过1,000台，但并未在美国销售，迄今亦未接获任何攻击报告。