Исследователи из CyberMDX, один εταιρεία безопасность, которая касается сектора здравоохранения, они обнаружили уязвимости в двух устройствах доставки анестезиииспользуется в больницы и произведены Дженерал Электрик (GE).
Два уязвимых устройства GE Aestiva и GE Aespire (Модели 7100 и 7900). По их словам исследователи, уязвимости были обнаружены в прошивки устройств.
Уязвимости могут подвергать пациентов риску
CyberMDX сказал, что когда злоумышленники находятся в той же сети, что и злоумышленники техника (в этом случае, в сети больницы), они могут использовать уязвимости и получить отправлять заказы, удаленно, для изменения настроек устройства.
Один исследователь сказал, что эти команды поддерживаются конструкцией устройства. Некоторые из них поддерживаются только в более ранней версии протокола, но есть другая команда, которая позволяет изменить версию протокола. Если это делает злоумышленник, он может отправить все остальные команды.
Таким образом, злоумышленники могут внести различные изменения, которые могут поставить под угрозу пациентов, Они могут, например, изменить состав газов в машинах (например, изменение концентрации кислорода, CO2, N2O), отключить сигналы тревоги устройства, чтобы они не могли слышать, если есть проблема, изменить архив с датами и временем, показывающими, например, когда произошла операция и как она прошла.
Все это очень серьезные проблемы, которые угрожают жизни пациентов.
«Анестезиология - сложная наука, и каждый пациент может по-разному реагировать на лечение. Поэтому анестезиологи должны соблюдать строгие протоколы использования процедур, доз и многих других элементов.
Чтобы анестезиологи могли выполнять свою работу, они должны точно знать некоторые факты. Если настройки времени и даты нарушены, врачи не могут выполнить необходимые проверки.
«Это очень серьезная проблема для любого медицинского центра», - сказал исследователь.
Самое тревожное то, что эти уязвимости просты в использовании, Единственное, что нужно, это приобретение доступ в сети больниц, что не очень сложно, если мы думаем, что сети и системы большинство больниц используют старые и небезопасные программное обеспечение.
Что она говорит? GE;
CyberMDX сообщает об уязвимостях в GE с октября 2018. GE решила не выпускать обновления, но опубликовал несколько советов по веб-сайт из.
Г.И. сообщил, что можно избежать уязвимостей, если устройства для анестезии не подключены к сети больницы. По словам компании, реальные уязвимости обнаруживаются только в протоколах связи, используемых, когда последовательный порт устройств (например, USB) подключен к сети TCP / IP. Если устройства не подключены к сети, они не могут быть ими использованы Хакеры, даже если они имеют доступ к сети больниц.
Кроме того, GE заявила, что возможность изменения состава газа больше не существует на машинах, проданных после 2009. Следовательно, этот риск больше не существует, если в больницах не используются очень старые машины GE Aestiva и GE Aespire.
Greek
Chinese (Simplified)
English
Greek
Russian