医疗输液泵安全缺陷严重，或被远程劫持和控制

据安全研究人员称，医院和医疗设施中广泛使用的输液泵具有严重的安全缺陷，可以远程劫持和控制。医疗保健公司CyberMDX的研究人员在医疗设备制造商Becton Dickinson开发的Alaris网关工作站中发现了两个漏洞。

输液泵是医院中最常见的套件之一。这些装置控制静脉输液和药物的分配，如止痛药或胰岛素。他们经常连接到中央监控站，因此医务人员可以同时检查多个患者。但研究人员发现，攻击者可以在输液泵的机载电脑上安装恶意固件，该电脑为输液泵供电，监控和控制。这项电脑运行Windows CE，通常用于智能手机之前的掌上电脑当中。

研究人员表示，在最糟糕的情况下，通过安装修改后的固件，可以在某些版本的设备上调整泵上的特定命令，包括输液速率。研究人员表示，黑客也可以远程控制机载电脑，让输液泵离线。根据国土安全部的咨询报告，该漏洞在行业标准的常见漏洞评分系统中获得了罕见的最高分10.0分。另外一个漏洞得分为7.3分，可能允许攻击者通Web浏览器访问工作站的监控和配置界面。

研究人员表示，创建一个攻击工具包非常简单，但攻击链很复杂，需要多个步骤，包括访问医院网络，了解工作站的IP地址以及编写自定义恶意代码的能力。换句话说，直接杀死病人远比利用这些漏洞更容易。CyberMDX去年11月披露了Becton Dickinson的漏洞。对此，Becton Dickinson表示，设备所有者应该更新到最新的固件，其中包含针对漏洞的修复程序。

目前，这种输液泵在大约有50个国家使用，但是没有在美国境内使用。目前，这些缺陷再次提醒人们，任何设备都可能存在安全问题 ，尤其是医疗领域的救生设备。