Medtronic MiniMed 600系列胰岛素泵安全警报

重点概述

最近，CISA（网络安全和基础设施安全局）因Medtronic的MiniMed600系列胰岛素泵存在中等严重性漏洞而发出了警报。虽然该漏洞仅可通过邻近网络利用，医疗机构仍被建议关闭“远程给药”功能，以保障患者安全。此警报强调了保护医疗设备网络安全的重要性。

CISA警告，Medtronic的MiniMed600系列胰岛素泵存在中等严重性漏洞。这一漏洞可能会导致未经授权的用户在邻近网络上操控胰岛素输送，造成胰岛素给药过多或过少，从而对患者安全构成风险。因此，医疗机构被建议立即关闭泵的“远程给药”功能以保护患者。

MiniMed600系列的医疗设备因其保护机制失败而受到影响，这可能会导致未经授权的用户通过操作胰岛素泵的给药功能，从而调节胰岛素的输送量。此类攻击需要攻击者在患者和设备附近，并是在泵与其他系统组件配对时进行，且需要高级技术知识。

尽管攻击场景高度特定，但潜在攻击的严重性促使Medtronic向其医疗客户发布“紧急医疗设备修正”通知。FDA已将该产品列入“自愿召回”名单。

为澄清问题，SC媒体联系了Medtronic的发言人，表示“这并不意味着您需要停止使用该产品或将其退回公司。有时召回意味着需要检查、调整或修理医疗设备。”

发言人还补充道：“在这种情况下，我们建议拥有这些胰岛素泵的客户关闭远程给药功能，以消除意外输送胰岛素的风险，并应避免在公共场合为泵配对。”

各实体应“立即取消未经授权人员启动的任何给药，密切监测血糖水平，并与Medtronic技术支持团队联系报告给药情况”。

这一漏洞的基本评分为4.8，可能是由于攻击场景的复杂性。该通知旨在提醒提供者关闭远程给药功能，以避免成功利用时可能发生的严重后果，攻击者可能会了解到用于配对系统组件的通信协议的功能。

Medtronic的内部测试显示，该问题发生的“远程可能性”较小，因为攻击者需要在泵的通信信号附近，并具备成功攻击的技术能力。通过互联网无法进行此类攻击。

FDA的召回反映了对患者安全的影响，值得注意的是，Medtronic通过内部测试发现了这一缺陷，并自愿披露，尽管成功利用的可能性有限。在FDA努力加强医疗设备制造商的网络安全监管要求时，该披露应作为发现和披露故障的模型，以支持医疗提供者保护患者的工作。

医疗机构被敦促关闭泵上的远程给药功能，并仅在私人场所连接或链接设备。CISA警报说明：“关闭远程给药功能将确保无法进行远程给药。”

此外，确保泵及连接组件始终由授权用户控制，并注意泵的通知、警报和提醒。提供者不应与信任的合作伙伴以外的任何人共享泵或设备的序列号。

在没有下载泵数据时，还应将USB设备与计算机断开连接，并且“用户不应确认远程连接请求或泵屏幕上的其他远程操作，除非由授权护理人员发起。”

CISA警报还包含进一步的补救措施，所有提供者被敦促在发现受影响设备上任何可疑活动时，立即与Medtronic支持团队联系。