E安全4月10日讯 思科 Talos 团队4月4日发布报告指出，纳图斯医疗（Natus Medical）集团 Natus Xltek EEG 医疗产品中使用的 Natus NeuroWorks 软件存在5个严重的漏洞，该软件用于其 Xltek 脑电图（EEG）设备中，供检测和审议网络数据。

脑电图设备崩溃会影响大脑吗？

思科 Talos 团队指出，攻击者可利用漏洞访问目标网络，在设备上远程执行任意代码或发送特制数据包致服务崩溃，甚至不需要进行身份验证。

Talos 团队发出警告称，攻击者搜索易受攻击的系统作为切入点，并在计算机网络中保持持久性。攻击者可感染易受攻击的系统，对网络进行侦察，并将其作为平台进一步发动攻击。

易受攻击的 Natus 设备上执行远程代码之所以可行的原因在于，其中存在4种不同的函数，可造成区缓冲溢出。所有这些远程代码执行漏洞的的评级为“严重”，CVSS 评分在9~10分范围，而 DoS 漏洞被评为“高危”漏洞。

思科表示已于2017年7月将这些漏洞问题报告给了纳图斯医疗公司，该公司于2017年10月份确认了这些漏洞。这些漏洞已在 Natus Xltek NeuroWorks 8 做过测试，纳图斯医疗目前已发布 NeuroWorks 8.5 GMA2 修复漏洞。

安全建议

纳图斯医疗已发布固件更新，安全研究人员建议使用受影响产品的医疗组织机构尽快安装更新。纳图斯的医疗设备部署范围较广，该公司最近宣称其在全球神经系统诊断领域的市场份额达到了60%。全球有数千家医院使用其 NeuroWorks 软件捕捉并分析脑电图（EEG）的数据。

纳图斯医疗：

在2017年上半年全球医疗企业排名中，该公司排名第76位，其产品在全球100多个国家均有销售。

医疗行业日益成为恶意攻击者青睐的目标，其中包括勒索软件攻击和数据泄露。信息安全圈和政府机构已多次发出警告，而最近发布的多份报告指出，黑客可能会利用医疗产品中的多个漏洞发起攻击。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/591202843.shtml

▼点击“阅读原文” 查看更多精彩内容