脳波検査システムのソフトウェアに脆弱性 17
ストーリー by headless
攻撃 部門より
攻撃 部門より
脳波検査システム「Natus Xltek EEG」で使用するWindows用ソフトウェア「Natus NeuroWorks 8」で5件の脆弱性が発見されたそうだ(Talos Intelligence Group Blogの記事、
Ars Technicaの記事、
The Registerの記事)。
Natus Xltek EEGシステムはイーサネットポートを備えており、Natus NeuroWorks 8と組み合わせることで、リモートからの状況監視やデータ閲覧が可能となる。Cisco Talosチームが発見したのは、いずれもリモートから特別に細工したパケットを送り付けることで攻撃が可能となる脆弱性だ。4件はスタックベースのバッファーオーバーフローを引き起こして任意コード実行を可能にするもので、あとの1件は境界外読み取りによるアクセス違反を引き起こしてサービス拒否攻撃を可能にするものとなっている。Talosは昨年7月にNatusへ脆弱性の存在を通知しており、脆弱性を修正したNeuroworks 8.1 GMA2がリリースされているとのことだ。Talosでは影響を受けるシステムを使用している病院などに対し、できるだけ早く修正を適用するよう呼び掛けている。
Natus Xltek EEGシステムはイーサネットポートを備えており、Natus NeuroWorks 8と組み合わせることで、リモートからの状況監視やデータ閲覧が可能となる。Cisco Talosチームが発見したのは、いずれもリモートから特別に細工したパケットを送り付けることで攻撃が可能となる脆弱性だ。4件はスタックベースのバッファーオーバーフローを引き起こして任意コード実行を可能にするもので、あとの1件は境界外読み取りによるアクセス違反を引き起こしてサービス拒否攻撃を可能にするものとなっている。Talosは昨年7月にNatusへ脆弱性の存在を通知しており、脆弱性を修正したNeuroworks 8.1 GMA2がリリースされているとのことだ。Talosでは影響を受けるシステムを使用している病院などに対し、できるだけ早く修正を適用するよう呼び掛けている。
医療機器のIoT化 (スコア:1)
弟が最近、睡眠時無呼吸症候群の診断を受けて、寝るときに空気を鼻から送り込む装置(CPAPというらしい)を使うようになったんだけど。
どこのキャリア回線か知らないけど、モバイル回線を使用して睡眠時のデータをとり、医者がオンラインで効果を確認したり、空気圧等を調節できるようになってるらしい。
ちなみに住宅の電波状況等でモバイル回線が使えないときは、SDカードに記録する機能もあるそうな。
これからもどんどん医療機器のIoT化は進むだろうし、こういう脆弱性の話も増えるのかな。
モノによっては悪用されたら、一歩間違えば命の危険もあると思うけど。
Re: (スコア:0)
すでに20年前からペースメーカーが誤反応するから電車内とかで携帯使うなと散々言われてきた我々にとっては何て事も無い
Re: (スコア:0)
CPAP治療は今回遠隔診療加算がつくようになったから、今後一気にオンライン化が進むだろうね。
遠隔診療にした場合、最大で診察を3ヶ月まで伸ばせるなど、患者側にもメリットも大きいし。
Re: (スコア:0)
というのは順序が逆で、もともとはSDカードに記録するのがデフォで、診察時にSDカードを持っていかなければならなかったんです。
その後、通信機能を付加して、今の状態になってます。
私が使ってる機器ではdocomoの3G回線を使ってますね。機器の後ろに「FOMA通信ユニット」とかシールが貼ってある。
未来がきた (スコア:0)
これで脳のハッキングが実現か?!
以下、脳波の電極を攻撃された結果の、妄想をどうぞ (スコア:2)
(a)「検査中の患者がロシア語を喋り始めたぞ!」「スパシーバ! ズドラーストヴィチェ!」
(b)「患者が嘔吐してる!」 患者「バババ、バッファーオーバーフロー...オエエエエ」
(c)「患者が両腕を動かしてる」「これは、手旗信号か .... 4, 0, 4 ... not found...」
(全部妄想なんですけどね)
Re: (スコア:0)
「ここでもしダウンフォースを発生させたらフッフッフ」
Re: (スコア:0)
ああっ。俺様の灰色の脳細胞からピンク色の妄想がダダ漏れにッ!!
#ち、違うぞ。これは俺のじゃないぞ。友達から借りただけだからな。
Re: (スコア:0)
誤字しないhylom
Re: (スコア:0)
それはスラドの終わりですか?
Re:直ちに影響はありません (スコア:1)
直ちに影響はありませんが、シャクティーパットは脆弱性があり
じわりじわり洗脳される危険性があります。ご注意ください。
こういう医療用の高いソフトって (スコア:0)
メーカーの人以外でデバッグを報告してくる暇な人っているの?
Re:こういう医療用の高いソフトって (スコア:1)
このへん [netsecurity.ne.jp]とかこのへん [nikkeibp.co.jp]とか
いくつかコンテストも開かれていますね
外からの攻撃か (スコア:0)
一定の条件のデータが入力されると、というやつじゃないのか。
脳波でシステムを乗っ取って色々出来るのかと思ったのに。
Re: (スコア:0)
システムが脳波を乗っ取って色々できるんじゃないのか…
Re: (スコア:0)
外からシステムを乗っ取って検査を受けてる患者に高出力の電波かなんかを浴びせて
攻撃する・・・というのはあるかもしれない?
Re: (スコア:0)
高出力の電波かなんかを浴びた患者が殺意の波動に目覚めて世界を滅ぼすシナリオを期待したい。