在 Baxter Life2000 通风系统中发现的关键漏洞

关键基础设施领域使用的重要医疗保健设备百特 Life2000 通风系统被发现存在多个严重漏洞。这些问题在最近的安全公告（ICSMA-24-319-01）中有详细说明，带来的风险包括未经授权的访问、数据暴露和运行中断。

该公告概述了 Life2000 系统中的多个漏洞，包括

1. CVE-2024-9834 (CVSSv4 9.3)： 敏感信息的明文传输
   该漏洞允许攻击者利用设备的未加密串行接口获取未经授权的访问权限并操纵设备设置。Baxter 称这将导致未经授权的信息披露和/或对设备设置和性能造成意外影响。
2. CVE-2024-9832 (CVSSv4 9.4)： 对过量验证尝试的不当限制
   如果不限制登录尝试，攻击者就可以使用暴力技术访问呼吸机的设置，从而可能危及患者安全。
3. CVE-2024-48971 (CVSSv4 9.4)： 使用硬编码凭证
   硬编码临床医生密码允许攻击者绕过身份验证并控制呼吸机。
4. CVE-2024-48973 (CVSSv4 9.4)： 物理访问控制不当
   调试端口默认已启用，使设备容易受到物理篡改，从而导致数据泄露或未经授权的设置更改。
5. CVE-2024-48974 (CVSSv4 9.4)： 下载未经完整性检查的代码
   固件更新缺乏完整性检查为恶意代码注入打开了大门。
6. CVE-2024-48966 (CVSSv4 10)： 关键功能验证缺失
   用于测试和校准的服务工具缺乏身份验证，允许攻击者操纵设置或固件。

成功利用这些漏洞可导致

• 信息泄露： 泄漏敏感的患者或操作数据。
• 设备中断： 未经授权的设置更改可能导致设备无法运行。
• 患者安全风险： 操纵关键功能会直接影响患者护理。

正如公告所述，这些漏洞 “可能导致信息泄露和/或设备功能中断而不被发现”。

虽然目前还没有利用这些漏洞的报告，但百特公司已经提供了临时指南：

• 物理安全： 用户应避免将设备置于无人看管的不安全区域。
• 对更新保持警惕： 巴克斯特计划在 2025 年第二季度之前发布解决这些问题的更新。
• 监控和报告： 企业应实施日志记录和监控，以检测恶意活动并遵循适当的报告协议。