杀人无形：黑客可以远程访问注射器输液泵，为病人输入致命剂量

注射器输液泵爆发安全危机

和平常人们在医院输液时使用的普通吊瓶不同，输液泵一般用于对药品浓度和输液速度有更严格要求的危重病人。有些药品需要24小时恒定输注，这时候就需要用到这种装置了。

可以说，输液泵是智能和联网医疗设备新浪潮的代表产品，它可以从根本上消除“人为失误”为病人带来的风险。但是，这真的意味着它是绝对安全的吗？

答案显然是否定的！因为一旦有黑客随意调整了静脉输液的药品浓度或者剂量，病人的生命安全就难以保证了。

如今，或许是由于制造商的开发不当，亦或者是由于使用者的配置不当，安全问题已经成为医疗器械面临的主要发展问题。本月早些时候，美国食品和药物管理局（FDA）就因安全问题召回了46.5万台心脏起搏器。

现在，又有事实证明，在急性护理环境中使用的注射器输液泵也能够被黑客远程访问和操控，从而影响设备的预期操作。对此，美国工控系统网络应急响应小组（ICS-CERT）已于上周四（9月7日）发布了安全预警。

近日，独立安全研究人员在明尼苏达州特种医疗器械制造商——史密斯医疗公司生产的 Medfusion 4000无线注射泵中发现了8处安全漏洞。据悉，这些装置主要被世界各地用于控制急性护理药物的剂量，例如新生儿和儿科重症监护室以及手术室等。

研究人员Scott Gayou发现，这8个漏洞中有一些威胁程度很高，远程攻击者很容易利用这些漏洞在未经授权的情况下访问设备，并影响输液泵的预期操作。

根据ICS-CERT发布的安全预警所示，

尽管制造商已经采用了分段设计，但是攻击者还是有可能会危及通信模块和泵的治疗模块。

分析显示，设备中最严重的漏洞（CVE-2017-12725）的CVSS得分为 9.8，该漏洞与使用硬编码的用户名与密码有关，如果默认配置未更改，则能够自动建立无线连接。此外，其他的一些高危漏洞还包括：

缓冲区溢出漏洞（CVE-2017-12718）：在特定条件下，允许攻击者在目标设备上远程执行恶意代码；
未经授权访问漏洞（CVE-2017-12720）：如果该输液泵的配置为允许FTP 连接，攻击者就可以在未经授权的情况下远程访问目标设备；
硬编码凭证漏洞（CVE-2017-12724）：输液泵的FTP服务器存在硬编码凭证漏洞，允许未经授权的攻击者访问并修改设备配置；
缺乏主机证书验证漏洞（CVE-2017-12721）：允许攻击者针对输液泵设备实施“中间人”（MitM）攻击；

其他几个漏洞均为中危漏洞，攻击者可能会利用这些漏洞来破坏目标设备的通信和操作模块，使用硬编码凭证进行telnet认证，并从配置文件中获取用户密码。

这些漏洞主要影响运行1.1、1.5 和1.6 版本的固件设备，史密斯医疗公司计划于2018 年 1月发布最新版本 1.6.1，以解决上述安全问题。

但与此同时，研究人员建议医疗机构可以采取一些防御措施，最大限度降低安全威胁，包括为输液泵设备分配静态IP地址、监控恶意服务器的网络活动、在隔离网络系统中安装泵、设置强密码以及定期创建备份等，直到修补程序发布，立即进行更新。

安全问题频发的射液泵 

其实，早在2015年，安全研究人员就曾在Hospira LifeCare泵中发现了的一个安全问题。这个问题与泵所使用的药物库相关，该药物库可设置泵能安全管理的静脉药物的最大剂量跟最小剂量范围。由于药物库并不要求进行验证，医院网络中的任何人——包括可从网上访问泵的医院病人或黑客——都可以加载一个新的药物库，以修改药物的限制。

同样在2015年，在纽约举办的黑莓安全峰会上，安全专家Graham Murphy 也演示了如何用恶意软件入侵输液泵的固件，无论输液泵是否连上了网线，他们都可以通过遥控的方式操纵它。甚至，通过入侵这一个输液泵，黑客可以连接到整个医院的系统。

由此可见，科技的进步在带来便利的同时也带来了危机，不过，与其他智能联网设备不同的是，医疗器械的安全危机带来的将是直接的生命危害，所以，无论是医疗设备制造商还是使用者都需要提高安全意识，完善安全开发过程，部署安全方案措施。