美国网络安全和基础设施安全局发布了一个顾问本周将讨论医疗设备中使用的软件的关键漏洞。

正如一位来自Forescout研究实验室的博客文章这13个新漏洞将影响西门子的Nucleus TCP/IP协议栈。

这些缺陷可能会导致远程代码执行、拒绝服务和信息泄露。

该警告称:“CISA建议用户采取防御措施，将利用这些漏洞的风险降到最低。”“CISA提醒各组织在部署防御措施之前，要进行适当的影响分析和风险评估。”

截止发稿时，西门子没有回应记者的置评请求。

为什么它很重要

Forescout的团队最初是在Medigate实验室的支持下识别出这些漏洞的，他们表示，理解代码可能存在的地方“非常具有挑战性”。

尽管如此，他们还是在医疗行业找到了2233台运行Nucleus的易受攻击的设备。Nucleus于2017年被西门子收购。

受影响的设备包括麻醉机、病人监视器和其他被Forescout描述为“安全至关重要”的设备。

漏洞的严重性范围，与最严重的CVSS评分9.8分的10。Forescout说，这个特殊的漏洞可能会导致拒绝服务条件和远程代码执行。

作为CNN在报道中提到在报告中，Forescout的研究人员能够利用一个漏洞，将医院使用的建筑自动化系统用于关闭模拟病房的灯和HVAC系统。

据CISA称，目前还没有已知的针对这些漏洞的公开攻击。西门子已经为所有这些软件发布了补丁。

Forescout表示:“针对‘纽核力:13’的完全保护需要对运行‘纽核力’易受攻击版本的设备进行补丁。”

Forescout建议网络运营商采取一种缓解策略，以解决这些缺陷，特别是考虑到给嵌入式设备打补丁可能很困难:

• 发现并清点运行Nucleus的设备。
• 加强细分控制和适当的网络卫生。
• 监控受影响设备供应商发布的渐进式补丁，并为脆弱资产清单设计补救计划。
• 监控所有网络流量的恶意数据包，试图利用已知的漏洞或可能的零日。

几个主要设备制造商思科、通用电气医疗和飞利浦等公司就该报告发表了声明。

该公司表示:“作为公司产品安全政策和协议的一部分，飞利浦团队正在评估飞利浦的产品和解决方案，利用西门子的易受攻击产品，以应对这些报告的漏洞和验证行动的潜在影响。在安全咨询中．

声明还说:“目前，没有飞利浦产品受到影响。”

更大的趋势

在2019冠状病毒病大流行期间，医疗设备安全变得更加重要远程患者监控和远程医疗扩大了医院的网络终端。

美国食品和药物管理局的苏珊娜·施瓦茨告诉记者欧宝娱乐是黑平台今年早些时候，设备网络安全要求整个社区”的方法。

她说:“这是一个共享所有权和责任的领域。”“没有一个实体，没有一个利益相关者能够独自解决这些真正巨大的挑战。”

她补充说:“这必须通过伙伴关系和合作，通过认识到我们都有不同的角色，不同的专业知识，不同的责任。”

在记录

中国钢铁工业协会在其咨询报告中表示:“观察到任何可疑恶意活动的组织应遵循既定的内部程序，并将其发现报告给中国钢铁工业协会，以便与其他事件进行跟踪和关联。”

Kat Jercich是《医疗保健IT新闻》的高级编辑。欧宝娱乐是黑平台
Twitter:@kjercich
电子邮件:kjercich@himss.org
欧宝娱乐是黑平台医疗保健IT新闻是HIMSS媒体出版物。