文章来源:思宇MedTech ;编辑:Kristen
转载要求:请在文首标明文章来源,可直接转载
2023年7月15日,在常规内部安全测试中,BD医疗(纽约证券交易所代码:BDX)发现其Alaris输液泵系统的部分版本存在8个可能被黑客攻击的漏洞,并主动向客户和有关部门披露了这一情况。
其实早在今年2月,BD医疗就已经报告了:公司在对某批次输液泵软件进行日常监控的过程中发现了安全漏洞。回顾:
#了解此网络安全漏洞事件
Alaris输液泵系统是一种将药物、营养物质和其他液体以预设剂量通过静脉输给患者的设备。 据悉,只有安装了Guardrails Suite MX软件的Alaris系统才会受到此次公布的漏洞的影响。 Guardrails Suite MX是一款药物安全和质量改进软件,与输液泵系统相连,可以减少药物错误并监测系统的运行情况。 此次公布的八个漏洞只存在于该软件的12.1.3及更早版本中。 BD医疗将这些漏洞按照10分制的通用漏洞评分系统(CVSS)进行了评估,其中一个被评为高严重性,得分为8.2分,其他七个被评为低或中等严重性,得分在3.0至6.9分之间。 高严重性的漏洞是由于软件存在一个缺陷,导致黑客可以通过“用户导入”功能上传一个恶意文件,然后劫持用户与软件的会话,并可能窃取医疗机构的机密信息。 要实施这种攻击,黑客需要有网络访问权限,并且运行系统的计算机上没有其他隐私保护措施。 如果这些条件都满足,那么这种攻击就相对容易实施。其他七个漏洞中,只有一个会让黑客入侵系统的其他组件,但这需要一个授权用户完成某些步骤才能使攻击有效。其余六个漏洞不会对系统的其他组件造成影响。
BD医疗在声明中说,现有的产品控制措施已经有效地降低了这八个漏洞造成伤害的可能性。即使有黑客利用这些漏洞,也不会对患者的信息安全造成影响,或者只会造成很小的潜在影响。只有在漏洞被利用的情况下,才有可能发生伤害。该公司还说,目前没有收到任何关于这些漏洞被实际利用的报告。 BD 医 疗 目前正在制定一个补救和部署计划来修复这些已经发现的漏洞。 此外, BD 医 疗 还在几个月前发布了另一份关于Alaris输液泵系统的网络安全通知。 该软件是安装在医院计算机上,并用于监测从输液泵发送的数据。 该通知发现了Alaris输液泵系统的某些版本存在一个高严重性的漏洞,即用于数据库安装的密码可以轻松恢复。 虽然数据库不存储患者健康数据,但一些医院可能选择在其中存储其他个人信息,而这些信息可能被黑客入侵。 因此,该漏洞评分为7.3分。 BD 医 疗 当时也表示,“发生伤害的概率很低”,并已联系所有受影响的医疗机构来实施修复,并更新了软件的安装说明,以避免触发漏洞。#关于Alaris输液泵系统
Alaris输液泵系统由BD医疗生产,是一种可以将药物、营养物质和其他液体以预设的剂量通过静脉输送给患者的医疗设备。 这种 医疗设 备可以单独使用,也可以与其他软件或设备集成,以提高药物安全和质量,减少错误和监测性能。Alaris输液泵系统的一个重要组成部分是Alaris输液泵模块8100型,它用于控制液体的流量和压力。该模块需要定期保养和维修,其中一个关键步骤是更换挡板组件,它是一个用于控制液体流动的小型塑料部件。
#关于BD医疗
BD是全球最大的医疗技术及医疗设备公司之一,目前在全世界50多个国家和地区设有分支办事机构、研发中心和制造工厂,业务遍及世界六大洲,员工超过50000人。BD通过改善医学发现、诊断和护理服务来推进全球健康,在患者和医护人员安全以及推动医学研究和临床实验室研究成果转化方面处于领先地位。返回搜狐,查看更多
