BD 发布新的网络安全警报：医疗设备的漏洞需优先处理

重点提取

BD最近发布的新网络安全与基础设施安全局警报显示，公司披露了在某些和医疗设备中发现的两种漏洞。其中，Pyxis产品的缺陷被评为8.8，建议医疗提供实体优先处理。

“未使用密码老化”漏洞存在于一系列BDPyxis自动药品发放系统中，包括ES、CIISafe、Logistics、MedBank、MedStation、ParAssist、RapidRx、StockStation及其他多个型号。

CVE-2022-22767漏洞的远程利用复杂度较低，可能使攻击者访问存储在设备上的电子健康保护信息或其他敏感信息，或利用该访问权限获取底层文件系统的特权账户。

具体而言，该漏洞是由于受影响产品上安装的默认凭证导致的，这些凭证“仍可能运行”且有可能被滥用。在其他情况下，一些BDPyxis产品具有相同的默认本地操作系统凭证或域加入服务器凭证，这些凭证可能在不同产品类型间共享。

BD目前正致力于增强受影响产品的凭证管理能力，并与医疗客户合作，以更新“需要更新的域加入服务器凭证”。此外，公司正在试点一种解决方案，旨在针对Pyxis产品中发现的漏洞，以改善本地系统凭证的身份验证管理。

为避免进一步的风险，提供机构被敦促对受影响的设备采取补救控制，如限制身体接触仅限授权人员、严格控制系统密码管理、监控和记录网络流量，以及将受影响的设备隔离在安全的VLAN或防火墙后。

第二个CISA警报提到在BD Synapsis工作站的版本4.20、4.20SR1和4.30中发现的缺陷，其严重性评级为5.7。该缺陷是由会话过期不足引起的。

攻击者需要物理突破工作站，并需通过一系列“特定顺序的事件”，如果成功，攻击者可以修改患者信息，导致治疗延迟或错误。

BD公司负责任地将这些漏洞披露给CISA，这是确保医疗行业复杂的关键部分。该公司预计将在6月为某些版本发布软件更新，以修复Synapsis的漏洞，并在8月针对其余产品发布更新。

在此之前，建议各方对受影响产品采取补救措施，包括配置非活动会话超时以匹配会话过期超时、实施物理访问控制以及在每台计算机上放置提醒，以便在离开设备时注销或锁定工作站。