McAfee安全研究人员当地时间8月24日表示，他们在输液泵软件中发现了多个漏洞，在特定条件下，熟练的黑客可以利用这些漏洞将患者的药物剂量改变到潜在的不安全水平。这些漏洞存在于跨国供应商B. Braun生产的设备中，这些设备被用于美国的儿科和成人医疗机构。

　　虽然目前还没有恶意利用这些漏洞的报告，但这项研究表明，在当今21世纪数字化威胁泛化的时代，保护几十年前设备免遭危害面临重大挑战。这一调查结果出炉之际，医疗卫生行业正面临疫情期间一系列勒索软件攻击老化的医院计算机网络的问题。

　　McAfee高级威胁研究团队的负责人Steve Povolny说，医疗设备“仍然容易受到多年来一直存在的遗留问题的影响，它们的更新或升级周期异常缓慢。”研究人员发现了医疗系统中五个以前未报告的漏洞，其中包括：

　　CVE-2021-33886 – 使用外部控制格式字符串 （CVSS 7.7）

　　CVE-2021-33885 – 数据真实性验证不足 （CVSS 9.7）

　　CVE-2021-33882 – 缺少关键功能的身份验证 （CVSS 8.2）

　　CVE-2021-33883 – 敏感信息的明文传输 （CVSS 7.1）

　　CVE-2021-33884 – 无限制上传具有危险类型的文件 （CVSS 5.8）

　　总之，这些漏洞可能被恶意行为者用来修改泵的配置，而泵处于待机模式，导致在下次使用时向患者提供意外剂量的药物——所有这些都是零身份验证。根据 McAfee的漏洞披露政策，已于 2021 年 1 月 11 日向 B. Braun 报告了其初步调查结果。此后不久，他们做出回应并开始与 ATR 进行持续对话，同时努力采用我们在披露报告中概述的缓解措施。

　　B. Braun公司在一份声明中表示，该公司在5月份向客户和健康信息共享与分析中心（Health Information Sharing and Analysis Center）披露了这些漏洞以及缓解措施，这些漏洞影响到“一小部分使用B. Braun较老版本软件的设备”。该公司没有提供受影响设备的估计数量。

　　“我们强烈反对McAfee在其帖子中的描述，即这是一个‘现实的场景’，患者的安全处于危险之中，”B. Braun的声明继续说。“我们有一个强大的漏洞披露计划，当漏洞被发现时，我们的目标是尽快降低潜在风险。”

　　这项研究附带了一些警告：攻击场景要求黑客首先访问设备运行的本地网络，并且输液泵必须处于待机状态，而不是在使用中。完整和攻击链如下图。

　　医疗专业人员也会监测输液泵给药的剂量，并接受培训以发现异常情况。尽管如此，Povolny和他的同事们证明了攻击者是如何偷偷地改变药物剂量的——而机器却毫不知情。

　　在进入注射泵的通信模块后，McAfee的研究人员展示了他们如何将代码注入到机器用来与泵的配置进行通信的二进制文件中。他们说，为了掩盖他们的踪迹，研究人员只需重新启动注射泵，抹去他们命令的证据。

　　据McAfee的研究人员称，虽然Braun输液泵的最新版本阻止了研究人员访问输液泵通信模块的途径，但黑客还有其他可能的入口。研究人员说，B. Braun尚未发布完全解决安全问题的软件更新。

　　（McaFee高级威胁研究团队演示对Braun输液泵的攻击）

　　美国食品和药物管理局（Food and Drug Administration，简称FDA）的一位发言人表示，该机构尚未被告知这一漏洞的披露。

　　FDA发言人表示：“FDA将与研究人员联系，在公布漏洞信息后检查漏洞信息，并将与医疗器械制造商协调，对影响评估进行审查，以确定是否存在可能涉及监管的潜在患者安全问题。”

　　据估计，全球每年有超过2 亿次静脉输液。输液泵市场显然是攻击者的潜在目标。该市场的年收入估计为 540 亿美元，2020 年美国静脉注射泵的销售额为 135 亿美元。静脉泵本质上被认为是安全的，并且随着时间的推移已成为有效和准确地输注药物的支柱。B. Braun 是主要的市场份额持有者之一在这个快速增长的市场中，强调了这些漏洞发现的影响。B. Braun总部位于宾夕法尼亚州，在世界各地都有办事处，去年的销售额为87亿美元。

　　近年来，随着研究人员更仔细地检查医疗设备的可黑客漏洞，FDA已试图敦促供应商采取更好的安全措施。

　　例如，2019年，在研究人员展示了黑客可能控制主要供应商美敦力（Medtronic）生产的胰岛素泵上的胰岛素输送后，FDA要求患者改用更安全的胰岛素泵型号。

　　越来越多的医疗设备供应商建立了漏洞披露程序，在此程序中，研究人员可以在坏人利用软件缺陷之前报告它们。但专家表示，该行业仍难以迅速应用关键软件更新。

　　McAfee的研究是实时操作系统（RTOS）的最新研究，RTOS是在能源和医疗等领域管理网络数据流的软件枢纽。黑莓上周证实，在输液泵中很受欢迎的实时操作系统（RTOS）也容易受到一组单独的拒绝服务漏洞的影响。

　　McAfee在其博客文章的结论中写道，“我们希望这项研究能帮助人们意识到这一长期以来一直处于盲点的领域。诺德克博士（医学博士，是 1 级创伤中心的介入放射学住院医师，之前曾担任陆军军医和专职医疗人员。从事医学领域20余年。）肯定了这项研究的重要性，他说：”在不被终端用户发现的情况下，以一种可能对患者造成伤害的方式操纵医疗设备，实际上是将设备武器化，这是一种之前只有好莱坞才构想出来的东西，McAfee的ATR团队已经证实是可行的。“设备制造商明确的目标是生产安全可靠的产品，这证明了内置保障措施的重要性。然而，可能存在的缺陷，使设备屈服于勒索攻击或潜在的伤害。因此，制造商应该与安全专业人员合作，独立测试他们的产品，以发现和纠正潜在的威胁，从而维护患者安全和设备安全。”