近日,据外媒报道称,德国西门子医疗扫描设备存在高风险漏洞,允许未经身份验证的黑客在设备上执行任意恶意代码。
这些远程访问安全漏洞潜伏在运行Microsoft Windows 7的所有西门子正电子发射断层显像和X线计算机体层成像(PET-CT)扫描设备中。PET-CT设备是一种将 PET(功能代谢显像)和CT(解剖结构显像) 两种先进的影像技术有机地结合在一起的新型的影像设备。
它是将微量的正电子核素示踪剂注射到人体内,然后采用特殊的体外探测仪(PET)探测这些正电子核素人体各脏器的分布情况,通过计算机断层显像的方法显示人体的主要器官的生理代谢功能,同时应用 CT 技术为这些核素分布情况进行精确定位,使这台机器同时具有 PET 和 CT 的优点,发挥出各自的最大优势。
美国国土安全局上周四(8月3日)发布警告称,这些设备中的漏洞是非常容易被恶意攻击者利用的,“只要具备较低技能的攻击者就能够利用这些漏洞”。这是因为虽然西门子硬件上运行的Microsoft和Persistent Systems代码漏洞早在2年前就已经发布修复补丁,但西门子医疗设备仍然继续运行在存在漏洞的 Windows 7 系统上,给恶意攻击者留下来可乘之机。
美国国土安全部工业控制系统网络应急响应小组(ICS-CERT)表示:
西门子已经确定了在Windows 7系统上运行的分子影像产品中的4个安全漏洞。攻击者可以远程利用这些漏洞在设备上执行恶意代码。目前,该公司正在为受影响的产品加紧研发修补程序。
在这4项漏洞中,有3项漏洞CVE-2015-1497、CVE-2015-7860、CVE-2015-7861影响HP终端自动化服务,CVE-2015-1635影响Windows 7系统,它们都能让未经授权的远端攻击者发送特制请求,进而执行任意恶意代码,影响系统安全性。此外,需要强调的是,4项漏洞的CVSS Base Score(CVSS基准分)皆为9.8。
以下是4项安全漏洞的详细信息:
● CVE-2015-1635:微软已经在其2015年的web服务器代码中完成了修复。该漏洞允许未经身份验证的远程攻击者通过端口 80 或 443 发送特制请求,使服务器崩溃,或通过有效地在内核中执行任意代码,实现操纵设备的目的。受影响的西门子设备使用该web服务器通过网络提供用户界面。
● CVE-2015-1497: 同样在2015年,Persistent Systems已经在其HP客户端自动化服务中完成了修复,该软件现在名为“Radia客户端自动化软件”。该漏洞允许未经身份验证的远程攻击者通过向端口 3465发送特制请求来执行任意代码。
● CVE-2015-7860、 CVE-2015-7861:HP Radia自动化服务器中存在的远程可利用漏洞,这两项漏洞也同样已经在2015年发布了修复程序。
ICS-CERT补充道:
目前,西门子正在为受影响的医疗设备研发更新程序。在修补完成之前,建议医院使用适当的机制来对分子成像产品的网络访问进行保护;建议尽量能让装置连网和公开网际网络切开,将设备运行在专用网段中;保护医疗设备所处的 IT 环境;甚至在不影响病患安全及治疗前提下不要连网。
其实,被业界合称为GPS的通用(GE)、飞利浦(Philips)以及西门子(Siemens)三家跨国企业,一直在CT、核磁共振、核医学等多类大型医疗设备中长期占据龙头地位,市场份额超过80%,而频频爆出安全漏洞的西门子设备,着实令人担忧医疗安全的未来。
