3月21日讯   美国国土安全部(DHS)2018年3月13号发布的 ICS-CERT 咨询报告中警告,美国通用电气医疗公司GE 旗下的某些特定医学造影产品存在安全漏洞,Optima 540 医学造影系统等多个 GE 医学造影产品当中可能使用默认或硬编码凭证。

这份警告指出,“成功利用此项漏洞可能允许攻击者以远程方式绕过验证机制,并获取对受感染设备的访问权。”

美国新泽西州卡姆登库珀大学医疗卫生首席信息保障官兼首席隐私官菲尔·卡伦指出,硬编码与默认密码给医疗设备带来巨大风险,根据代码当中利用用户 ID/pndc 所提供的具体功能,这些漏洞或将影响设备正常运行,允许恶意攻击者访问病患信息,篡改数据、破坏数据完整性,甚至彻底关闭设备给患者带来安全威胁等。”

什么是硬编码?

在计算机程序或文本编辑中,只有硬编码和软编码两种方式。他们的区别在于:软编码可以在运行时确定,修改;而硬编码是不能够改变的。硬编码是指将可变变量用一个固定值来代替的方法,采用硬编码编译后如果需要更改此变量就非常困难了。

受影响的产品

根据研究人员提供的调查报告结果,通用电气方面进行了自我评估,并证实部分造影产品确实使用默认或硬编码凭证。ICS-CERT 方面表示,通用电气公司已经审查了研究人员在调查报告中发现的密码安全问题,并建议用户联系官方支持服务以获取密码变更指导。

此次受到影响的设备涉及 GE医疗旗下推出的多款产品,具体包括:

Optima、Discovery、Revolution、Centricity、THUNIS、eNTEGRA、CADStream、GEMNet、Infinia、Millenium、Precision MP/i 以及 Xeleris产品家族。

不受此次漏洞影响的产品分别为 Optima 680、Revolution XQ/i 以及 THUNIS-800+ 系统。

ICS-CERT方面在报告中指出,根据通用电气公司的说法,目前受影响的各产品已被广泛部署至全球医疗行业当中,但强调此次列出的部分受影响产品——例如 Optima  680、Image Vault 3.x 以及 THUNIS-800+等在美国及加拿大的使用范围非常有限,甚至并未实际部署。

GE 医疗在一份面向媒体的声明当中表示,其已经了解到近期……ICS-CERT 发布的咨询报告,其中包含对此前发布的 US-CERT 公告的内容更新,后者同样提到某些产品当中存在使用默认凭证的问题。

漏洞医疗设备容易“被僵尸”

医疗设备网络安全研究人员比利·里奥斯在采访中表示,“硬编码密码是医疗网络安全当中的一个大问题。”

里奥斯和另一位来自安全厂商 Cylance 公司的研究员泰瑞·麦考科在几年前就曾经发现,来自40家供应商的医疗设备中包含300条硬编码密码,这些设备已被美国食品与药物管理局(简称FDA)审查出存在问题,并已被纳入上市前整改指导名单。

与此同时,ICS-CERT 也曾发布一份警告,强调了里奥斯与麦考科发现的医疗设备硬编码密码问题。FDA 方面亦出台相关草案,建议各制造商在其医疗设备的设计与构建方面引入网络安全考量。

里奥斯在采访中表示,我们已经观察到  Mirai  僵尸网络等恶意软件会利用设备中的默认密码对其实施入侵。在大多数情况下,维修技术人员会利用这些密码来维修医疗设备。为了解决这个问题,医院可以利用厄文提供的研究结果以及相关数据以禁用与技术接口相关的接口。如果设备需要维修,医院可以在维修过程当中启用技术人员接口,并在维修完成后禁用相关接口。

如何避免受到漏洞影响?

ICS-CERT 在其发布的 GE 医疗设备咨询报告当中还提到,该制造商已经发布了可根据要求进行交付的产品更新;他们已经面向大部分受影响产品(除其中三款)发布用于替代默认或硬编码凭证的定制化凭证。

ICS-CERT 方面同时指出,用户也可以采取其它防御措施,从而尽量减少此漏洞遭到实际利用的风险。相关举措具体包括:

  • 在受影响系统上关闭所有未使用端口;

  • 停止或限制在受影响系统上使用第三方软件的行为(例如电子邮件及网络浏览器软件),因为这可能进一步增大医疗设备的攻击面;

  • 确保受影响系统已经安装供应商提供的最新补丁程序;

  • 限制对受影响系统的网络访问,并确保其不可通过互联网进行直接访问;

  • 遵循最佳网络设计实践,例如进行网络分区,利用经过适当配置的防火墙保护网络边界,同时有选择性地控制并监视不同分区及系统间的全部往来流量;

  • 监控并记录所有对受影响产品的访问尝试,同时查看可疑的异常网络流量;

  • 当需要进行远程访问时,请使用虚拟专用网络等方法; 但请注意,VPN同样可能存在漏洞,因此请确保将其更新至最新版本。

硬编码与默认密码问题广泛存在

卡伦表示,硬编码与默认密码问题绝不仅限于医疗设备内,他指出,这个问题不仅困扰着医疗设备,我们在其它代码当中也看到了大量此类以硬编码形式存在的用户  ID  与密码,我们所能采取的措施非常有限。而恶意用户可以通过物理访问或未经授权的逻辑访问来接入设备本身存在的漏洞。组织可以管理物理访问途径,即仅允许授权人员访问设备——例如护送病患并及时锁门。此外,各类组织机构还可通过及时更新所有设备(包括医疗设备)并对存在漏洞的设备进行隔离等方式提升安全水平。

对医疗设备进行补丁修复一直是项艰巨的挑战,尤其是那些陈旧软件的设备。这需要供应商持续提供系统补丁来保障患者安全。

在一份声明中,FDA 方面指出其是通过医疗设备制造商与独立研究人员共同建立的“协调披露流程”知晓 GE 设备中存在网络安全漏洞。FDA 鼓励医疗设备制造商及研究人员以切实保护患者的方式开展协作,从而解决网络安全漏洞。

FDA 方面在采访中表示,2016年其已经发布了关于医疗设备网络安全的销售后管理指导终稿,其中概述了关于协调披露工作的最佳实践。这份声明指出,FDA 鼓励医疗设备制造商及研究人员以切实保护患者的方式开展协作,从而解决网络安全漏洞。

扩展阅读:

2013年,“全球最牛”黑客巴纳拜·杰克离奇死亡。杰克去世前曾向外界宣布:他要在7月31日开幕的“黑帽”黑客会议上,展示在9米之外入侵植入式心脏起搏器等无线医疗装置,然后向其发出一系列 830V 高压电击,从而令“遥控杀人”成为现实。当时,杰克声称已经发现了多家厂商生产的心脏起搏器的安全漏洞。

巴纳拜·杰克离奇死亡后,美国警方拒绝透露杰克死亡细节,这引发了各种疯狂阴谋论。有阴谋论者指出,杰克最新针对医疗设备的“遥控杀人”技术不仅会对公众的生活安全构成威胁,也将令生产这些存在漏洞的医疗设备的厂商的名誉和经济利益遭到重创,不排除杰克因此遭人灭口的可能。

在2010年“黑帽”黑客会议上,杰克独创黑客技术令自动提款机狂吐钞票,使其一跃成为全球最牛的“明星黑客”。类似的让ATM机吐钞票的黑客攻击及其相关研究仍在继续。

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。