最近,美国 ICS-CERT 发布并修改了一份名为《美国必康美德TotalAlert Scroll 医用空气系统》(ICSMA-18-144-01)的公告,警告称在美国必康美德公司 TotalAlert Scroll 医用空气系统的医疗设备中发现了三个安全漏洞。
必康美德(BeaconMedaes)为 Atlas Copco Group 公司旗下子公司,在美国医疗对应领域拥有超过60%市场占有率;英国市场占有率超过70%;在中国也有一定的市场占有率。
ICS-CERT 表示,攻击者可利用 TotalAlert Scroll 医用空气系统 web 应用程序中的漏洞,查看和修改一些设备信息和 web 应用程序设置。这些漏洞由安全研究员马克西姆·鲁普向美国国土安全部(DHS)的国家网络安全和通信整合中心(NCCIC)报告,由 NCCIC 下的 ICS-CERT 负责发出警报公告。
漏洞详情
必康美德 TotalAlert Scroll 医用空气系统 web 应用程序中的漏洞为:CVE-2018-7526、CVE-2018-7518 和 CVE-2018-7510。
CVE-2018-7526属于“不正确的访问控制(CWE-284)”漏洞,评分5.3。通过访问 web 服务器上特定的URL,恶意用户可以在不进行身份验证的情况下访问应用程序中的信息。
CVE-2018-7518属“未充分保护凭证(CWE-522)”漏洞,评分7.5。攻击者通过网络访问集成 web 服务器,可以获取以不安全方式存储和传输的默认凭证或用户定义的凭证。
CVE-2018-7510属“未受保护凭证存储(CWE-256)”漏洞,评分7.5。利用该漏洞,攻击者可以轻易窃取密码,密码以明文形式显示在文件中,无需身份验证即可访问。
防御措施
制造商目前已经推出了一个更新版本(4107600010.24)以修复这些漏洞,并建议用户更新到这个版本。用户可通过1-888-4MEDGAS (463-3427)直接联系该公司以获取更新。
为了降低必康美德医用设备漏洞带来的安全风险,美国 DHS 下的 ICS-CERT 提出了以下建议:
尽量减少所有控制系统设备和/或系统在网络中的暴露程度,并确保它们无法通过互联网进行访问;
确定防火墙后的控制系统网络和远程设备,并将其与商业网络隔离开;
使用安全的远程访问方法,例如虚拟专用网络(VPN)。须认识到 VPN 也可能存在漏洞,应及时将其更新至最新版本。
此外,ICS-CERT还建议组织在部署防御措施之前进行适当的影响分析和风险评估。
全球医疗设备安全市场巨大
根据 MarketsandMarkets 的最新报告显示,近期关于医疗设备漏洞的新闻层出不穷,医疗设备安全产品供应商的市场有望在未来五年内大幅增加。预计到2023年,全球医疗设备安全市场将高达66亿美元。
促成该市场增长的因素包括:医疗网络攻击和威胁日益增加、老年人口增加以及慢性病管理增长、政府法规和合规需求、对联网医疗设备的需求不断增加以及 BYOD(自带设备)和物联网的广泛应用。
MarketsandMarkets 的报告将医疗设别市场划分为应用程序安全、端点安全、网络安全、云安全和其他安全形式,如电子邮件、Web 和数据库安全。
由于连接的医疗设备越来越多、网络越来越容易遭受复杂威胁,随着 BYOD、社交媒体和云同步工具等使用的广泛普及,端点安全有望在2018年占居主导地位。
根据设备类型,可穿戴设备和外部医疗设备方面的复合年增长率预计到2023年将达到最高。家庭医疗的需求、慢性病的普遍存在及医疗成本的降低将进一步刺激增长。
从地理上来看,预计2018年北美地区将占据医疗器械安全市场的主导地位,其次是欧洲、亚太地区、拉丁美洲、中东和非洲。
目前,全球医疗设备安全市场的主要供应商包括思科、IBM、通用电气医疗集团、赛门铁克、CA公司、飞利浦、DXC 、CloudPassage、FireEye、Check Point、Sophos、Imperva、Fortinet、Palo Alto Networks、 ClearDATA 以及 Zscaler。
ICS-CERT公告:美国必康美德医疗设备曝多个安全漏洞
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文