分類
硬體資訊 資訊安全 軟體資訊

醫療機構注意:駭客可經由「腦波儀軟體」的漏洞進入醫院網路!


圖:Natus 官網
文/Qmo | 2018-04-06發表
思科安全研究機構Talos Intelligence於4/5揭露醫療設備儀器存在安全漏洞;漏洞存在於Natus公司腦波儀Xltek EEG的軟體 Xltek NeuroWorks 8中,它是用於將腦波儀連上醫院網路,以便將資料蒐集到醫院後端伺服器上。

 存在漏洞: CVE-2017-2853、CVE-2017-2867、CVE-2017-2868、CVE-2017-2869、CVE-2017-2861
 攻擊手法: 1.透過變造的網路封包引發緩衝溢位攻擊,藉此執行程式碼,達到取得程式控制權限,以存取裝置上的病患資訊或是醫院網路上其他系統。
2.針對系統傳送惡意資料值引發存取違規(access violation)進而導致阻斷攻擊。
3.所有漏洞都可以在非授權情況下以遠端驅動。
 緩解措施: 有採用該腦波儀的醫療機構可與Natus廠商聯繫,取得相關韌體及軟體的更新。