输液系统AGW漏洞安全通告

发布时间 2019-06-13

漏洞编号和级别



CVE编号:暂无,危险级别:严重,CVSS分值:厂商自评:10,官方未评定

CVE编号:暂无,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定



影响版本



受影响的版本


AWG 固件



漏洞概述



AGW(Alaris Gateway Workstations) 是 Becton Dickinson 的一款产品,用于和输液泵通信并在输血、麻醉和透析等各种治疗过程中提供动力支撑。这些泵确保患者在某段时间内连续或间歇地接收到推荐剂量的药物。多种类似设备可被连接到单个AWG,向单个个体提供各种医疗药物。


研究人员在用于传输液体药物的AGW中发现了如下两个漏洞:


漏洞一

AGW的固件可被远程替换为自定义版本的固件。和目标系统位于同一网络的攻击者能够“更新并操纵在压缩库中存储文件的 CAB 文件并使用正确格式的 Windows CE。”具有这种访问权限,攻击者能够修改某些连接至 AWG 的输液泵型号开出的药物剂量,这种开具药物的方式在医院病房和重症监护室很常见。


漏洞二

存在于AWG的web 接口中。它的攻击复杂度较低,而且能够导致黑客访问设备监控、事件日志和设备配置。利用该漏洞只需目标 AWG 的 IP 地址,从而使得已经和目标位于同一网络的人能够轻易得手。



漏洞验证



暂无POC/EXP。



修复建议



降低风险的方法是安装最新的 AWG 固件版本,当前是1.3.2或1.6.1;网络隔离;并确保只有可信方能够访问网络。



参考链接



https://mp.weixin.qq.com/s/6GIQrqO9u1UyDdFOAz7VdA