医疗行业不太平，麻醉也能通过网络操作了

*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

随着众多行业的数字化转型成功，很多传统的行业也接入了互联网体系中，其中就包括医疗行业。而近年以来，网络带给医疗的不仅仅是便利，还有无尽的危机。

近日，医疗行业又曝出了事故：某些医院中使用的麻醉机器的固件存在漏洞，能够通过外部介入改变正常功能，调整其吸入物质的成分比例。

据悉，受到该漏洞影响的机器是GE Aestiva和GE Aespire麻醉系统，型号分别是7100和7900，来自GE Healtecare（属于通用电气公司），并且能够通过本地网络连接和发送命令。只要攻击者与该设备处于同一网络内，并且不需要特殊权限，就能够利用该漏洞，同时，如果麻醉系统连接到了终端服务器，则可能造成更大的损失。

无需身份验证或特殊权限

CyberMDX是一家专注于医疗设备网络安全的企业，这个漏洞也是由其研究负责人Elad Luz发现的。他表示，这种攻击存在的可能性是很大的，由于不需要身份验证，因此不发生用户交互也可能实现，这种针对麻醉设备的攻击不仅可以远程调节麻醉气体混合物的成分，还能控制其警报系统，改变系统的时间和日期，以及改变气压。

一般来说，麻醉剂的浓度会根据患者的不同而单独制定，而麻醉的效果和患者的反应一般也都是医生关注的问题之一，出于这个原因，麻醉系统通常都会通过网络连接来持续检测患者的状态。因此，麻醉气体的浓度发生变化可能会造成非常严重的后果。

Luz表示，能够控制警报系统和改变气体浓度这两个效果太过imba，另外虽然改变系统时间虽然影响稍微小一些但也能造成很严重的后果，如果反映的是在手术过程中的记录，这个时候时间戳被改了，这谁顶得住你说。

因此，根据研究人员的说法，利用这个漏洞能造成以下影响：

气体成分设定：设定吸入的O₂（氧气）、CO₂ （二氧化碳）、N₂O（一氧化二氮，俗称笑气）和麻醉剂的成分比例，并且能够设定气压和选择麻醉剂类型；

警报消音：当患者状况出现异常的时候机器会发出巨大的噪音作为提醒，这个漏洞恰好就能将这个警报调整为静音模式；

改变系统的日期和时间。

虽然目前这个漏洞给出的威胁评级是5.3分，仅能算为中低危漏洞，但实际上，出现在医疗设备中的每一次安全故障都能造成十分严重的后果。

该公司已经通过对实际设备进行真实测试来进行验证，确认了上述操作的可行性并表示在真实医院环境中应当尽量避免这类问题的发生。

除此之外，6月中旬CyberMDX还发布过另一个有关Alaris Gateway Workstation（美国碧迪公司的医疗产品，一款智能输液系统）固件漏洞的信息，该漏洞能够允许攻击者完全控制与其连接的任何设备。

当地时间7月9日，美国国土安全局通过ICS-CERT发布了关于Aestiva和Aespire麻醉机器漏洞的信息，并提供了解决建议：

使用安全终端通过串行端口将麻醉系统连接到网络，能够有效提高安全性，可防止未经授权的远程访问。同时需要增加加密通信、VPN服务、身份验证、活动记录、网络控制以及安全审计和设备连接管理功能。 

*参考来源：bleepingcomputer，Karunesh91编译，转载来自FreeBuf