瑞士罗氏联网医疗设备存在漏洞 病人有风险

编译：360代码卫士团队

网络安全公司 Medigate 警告称，瑞士医疗公司罗氏的三款医疗设备中存在五个漏洞。

这些漏洞影响 AccuChek 葡萄糖测试设备、用于抗凝治疗的CoaguChek 设备以及 Cobas 可携带定点照护系统。

ICS-CERT 最新发布安全公告，详细说明了易受攻击的产品和版本。值得注意的是，每个漏洞都影响罗氏设备的某些机型和版本。受影响产品由基本单元和通过无线通信的带有基本单元的手持式设备组成。Medigate 公司的研究人员发现能访问本地网络的攻击者能够入侵基本站然后针对手持式设备发动攻击。

这些漏洞的 CVSSv3 评分介于6.5至8.3之间，可遭网络攻击者用于绕过对高级接口的认证、在使用特定医疗协议的设备上执行代码并在文件系统上放置任意文件。

其中一个命令执行缺陷要求进行认证，但 ICS-CERT 发布安全公告表示，受影响产品使用弱访问凭证，说明攻击者容易在系统上认证。Medigate 公司表示，“这些漏洞易于遭利用，但非常难以发现和开展研究”。

Medigate 公司表示，这些漏洞可对使用受影响设备的病人带来威胁。这些漏洞能导致基本站和手持式设备（包括所生成的网络流量）遭完全控制。也就是说设备使用的医疗协议可遭修改，而医疗数据可遭更改。在血糖仪的案例中，可为病人带来风险。如果设备遭修改，那么可影响数据读取或传输发生错误，从而导致病人得到不正确的治疗。

ICS-CERT 表示，欧式公司已经在准备补丁，这个月应该能发布。同时，罗氏公司建议消费者限制对受影响设备的网络和物理访问，保护联网端点免受恶意软件和越权访问，并监控网络中的可疑活动。

原文链接

https://www.securityweek.com/flaws-roche-medical-devices-can-put-patients-risk

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。