美国食品和药物管理局(FDA) 周二发布 警告,指出许多医疗设备和医院网络正在使用的具有数十年历史的软件中检测到的漏洞。
IPnet 中存在 11 个漏洞,后者是支持计算机之间的网络通信的第三方软件组件。如果被利用,这些漏洞可能使黑客能够远程控制医疗设备,更改其功能,阻碍服务或触发信息泄漏,从而可能导致其无法正常工作。
最初的 IPnet 软件 Interpeak 的制造商不再支持它,但是一些制造商获得了在不支持的情况下使用它的许可,这意味着它可以被结合到仍在医疗设备中使用的其他软件应用程序,设备和系统中。
IoT 安全公司 Armis 早在2019年7月就发现了 IPnet 堆栈中的漏洞(统称为 URGENT / 11) 。结果,有 30 多家供应商发布了安全公告。
发现漏洞后,人们认为它们仅影响了流行的实时操作系统Wind River VxWorks 的某些版本 。但是,网络安全风险的真正影响要大得多,因为 IPnet 软件已获得许可并在医疗保健行业采用的多个操作系统中使用。
根据 FDA 的说法,Green Hills 的 Integrity 操作系统,Microsoft 的 ThreadX 操作系统,ENEA嵌入式的操作系统 ,TRON 论坛的 ITRON 以及 IP Infusion 的 ZebOS 的 某些版本 可能包含易受攻击的软件组件。
迄今为止受影响的医疗设备包括成像系统,输液泵和麻醉机。FDA 在警告中表示,“预计将会发现其他医疗设备,其中包含与原始 IPnet 软件相关的一个或多个漏洞”。
IPnet 的漏洞为零日漏洞,这意味着它们自软件创建以来就已经存在。
网络安全和基础架构安全局于 7月30日发布了有关 Wind River VxWorks 中网络安全漏洞的警告。
该消息是在本周国际医疗器械监管者论坛(IMDRF)发布了长达 45 页的指导文件《医疗器械网络安全原则和实践》之后发布的 。
该文件是由 FDA 和加拿大卫生部共同编写的,其中涉及第三方组件:“这些组件会产生自身的风险,制造商可通过风险管理,质量管理和设计选择来对其进行管理。制造商应管理作为其设备一部分的组件(软件和硬件)对网络安全的影响。
“类似地,第三方组件的上市后问题也可能会影响医疗设备的安全,制造商需要管理此风险。用户希望制造商了解操作系统等底层组件中的安全漏洞。或处理器会影响医疗设备。监管机构会要求它。”