漏洞概述

美国网络安全和基础设施安全局（ICS-CERT）发布了一份关于圣犹达医疗（St. Jude Medical）Merlin@home发射器的安全公告。该公告详细阐述了一个已识别的网络安全漏洞，并提供了相应的修复更新（版本8.2.2）。此漏洞影响用于远程监控心脏植入式设备（如起搏器）的Merlin@home发射器。

受影响的设备

此次漏洞影响以下特定型号的Merlin@home发射器（版本早于8.2.2）：

• 射频（RF）型号：EX1150
• 感应式型号：EX1100
• 具备MerlinOnDemand功能的感应式型号：EX1100

其中，具备MerlinOnDemand功能的感应式发射器主要部署于医疗机构，用于在就诊时读取多名患者的设备数据，其数量约占Merlin@home发射器总量的0.1%。该型号使用近距离阻抗遥测技术与设备通信，而非射频。

技术漏洞详情

该漏洞被归类为 “非端点可访问的通道” 漏洞，更广为人知的名称是 “中间人攻击” 漏洞。

• 根本原因：发射器与圣犹达医疗的Merlin.net网站之间的通信通道，其两端点的身份未被充分验证。
• 潜在影响：这可能允许具有高级技能的远程攻击者访问或影响Merlin.net与发射器端点之间的通信。
• 漏洞标识：该漏洞被分配了唯一的CVE编号 CVE-2017-5149。
• 严重性评级：根据通用漏洞评分系统（CVSS）3.0版，该漏洞的基础评分为 8.9分（高危）。评分向量为：AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:H/A:H，意味着攻击复杂度较高，但一旦成功，可能对系统机密性、完整性及可用性造成严重影响。

官方修复与缓解措施

圣犹达医疗已发布新版本软件以修复此漏洞。

1. 固件更新：新版发射器软件版本8.2.2已发布，旨在缓解已识别的漏洞并提供额外的安全增强功能。
2. 更新方式：该更新将通过以太网、Wi-Fi、蜂窝网络或固定电话连接，在数月内自动推送给所有型号的Merlin@home发射器。
3. 用户操作建议：
   • 为确保接收此更新及未来的更新，用户应保持Merlin@home发射器始终通电并连接至网络。
   • 患者和医护人员如有疑问，可拨打Merlin热线 1-877-696-3754 或访问圣犹达医疗官方网站获取更多信息。

相关安全建议

• 美国食品药品监督管理局 同期也发布了安全通告，为患者和医护人员提供了具体建议。
• ICS-CERT强调，任何设备在直接连接到互联网时，若未明确控制其通信或访问权限，将显著增加网络安全事件的风险。建议所有互联网用户及医疗保健行业成员参考其发布的推荐安全实践。