新闻快讯
< >

Natus脑电图医疗设备曝多个高危漏洞

E安全4月10日讯 思科 Talos 团队4月4日发布报告指出,纳图斯医疗(Natus Medical)集团 Natus Xltek EEG 医疗产品中使用的 Natus NeuroWorks 软件存在5个严重的漏洞,该软件用于其 Xltek 脑电图(EEG)设备中,供检测和审议网络数据。

脑电图设备崩溃会影响大脑吗?

思科 Talos 团队指出,攻击者可利用漏洞访问目标网络,在设备上远程执行任意代码或发送特制数据包致服务崩溃,甚至不需要进行身份验证。

Natus医疗设备中被曝远程代码执行和拒绝服务漏洞-E安全

Talos 团队发出警告称,攻击者搜索易受攻击的系统作为切入点,并在计算机网络中保持持久性。攻击者可感染易受攻击的系统,对网络进行侦察,并将其作为平台进一步发动攻击。

易受攻击的 Natus 设备上执行远程代码之所以可行的原因在于,其中存在4种不同的函数,可造成区缓冲溢出。所有这些远程代码执行漏洞的的评级为“严重”,CVSS 评分在9~10分范围,而 DoS 漏洞被评为“高危”漏洞。

思科表示已于2017年7月将这些漏洞问题报告给了纳图斯医疗公司,该公司于2017年10月份确认了这些漏洞。这些漏洞已在 Natus Xltek NeuroWorks 8 做过测试,纳图斯医疗目前已发布 NeuroWorks 8.5 GMA2 修复漏洞。

安全建议

纳图斯医疗已发布固件更新,建议使用受影响产品的医疗组织机构尽快安装更新。纳图斯的医疗设备部署范围较广,该公司最近宣称其在全球神经系统诊断领域的市场份额达到了60%。全球有数千家医院使用其 NeuroWorks 软件捕捉并分析脑电图(EEG)的数据。

纳图斯医疗:

在2017年上半年全球医疗企业排名中,该公司排名第76位,其产品在全球100多个国家均有销售。

医疗行业日益成为恶意攻击者青睐的目标,其中包括勒索软件攻击和数据泄露。信息安全圈和政府机构已多次发出警告,而最近发布的多份报告指出,黑客可能会利用医疗产品中的多个漏洞发起攻击。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。