據(jù)外媒報(bào)道,，美國國土安全部網(wǎng)絡(luò)應(yīng)急響應(yīng)小組（ICS-CERT）的研究人員發(fā)現(xiàn)美國通用電氣醫(yī)療集團(tuán)（GE Healthcare）的麻醉機(jī)GE Aestiva和GE Aespire（型號7100和7900）存在安全漏洞,，該漏洞允許攻擊者發(fā)送遠(yuǎn)程命令，干擾設(shè)備的正常工作順序,。

漏洞的CVSS（通用漏洞評分系統(tǒng)）評分為5.3,，攻擊者可更改麻醉機(jī)的呼吸器功能，改變吸入氣體的成分,，關(guān)閉靜音警報(bào)并改變時(shí)間或日期,。

公司調(diào)查后表示，某些安全度不高的終端服務(wù)器暴露了配置,，導(dǎo)致黑客可遠(yuǎn)程修改GE設(shè)備參數(shù),。在使用麻醉機(jī)時(shí)，氣體成分,、設(shè)備時(shí)間變化或靜音警報(bào)不會造成直接的臨床傷害,。此外，可修改GE麻醉設(shè)備參數(shù)或靜音警報(bào)不能說明GE麻醉機(jī)本身存在漏洞,。

但Rapid7的物聯(lián)網(wǎng)研究負(fù)責(zé)人Deral Heiland表示，醫(yī)療機(jī)構(gòu)應(yīng)始終保持重癥監(jiān)護(hù)網(wǎng)絡(luò)的分段,。如果設(shè)備可以在沒有身份驗(yàn)證的情況下通過網(wǎng)絡(luò)接受命令,，將會帶來嚴(yán)重的風(fēng)險(xiǎn)。

注：本文由E安全編譯報(bào)道,轉(zhuǎn)載請注明原文地址

https://www.