罗氏医疗器械曝多个漏洞,可能会危及患者人身安全

来源:黑客视界2019.06.20

 

一家网络安全公司在最近警告称,由瑞士健康事业公司罗氏(Roche)医疗诊断部门生产的几款医疗器械中存在多个安全漏洞,可能会让患者的人身安全面临风险。

来自以色列医疗设备安全企业Medigate的安全研究人员Niv Yehezkel发现,由罗氏生产的三款医疗器械存在五个安全漏洞。总的来说,这些漏洞会影响到Accu-Chek血糖仪、抗凝治疗医疗专业人员使用的CoaguChek凝血检测仪以及Cobas便携式手持血液分析仪。

在美国工业互联网安全应急响应中心(ICS-CERT)最近发布的一份咨询中,我们可以找到所有易受攻击的产品和版本的详细信息。值得注意的是,每一个漏洞都会影响罗氏医疗器械的多个型号和版本。

接下来,就让我们来看看详细的漏洞信息,以及它们所对应的医疗器械型号和版本。

第一个漏洞:CVE-2018-18561

漏洞描述:弱访问凭证漏洞,允许攻击者可以通过服务接口来获得未经授权的服务访问。

CVSS v3评分:6.5

受影响产品型号和版本:

  • Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
  • CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本

第二个漏洞:CVE-2018-18562

漏洞描述:OS命令注入漏洞,服务接口中的不安全权限允许通过身份验证的攻击者在操作系统上执行任意命令。

CVSS v3评分:8.0

受影响产品型号和版本:

  • Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
  • CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本

第三个漏洞:CVE-2018-18563

漏洞描述:任意文件覆盖漏洞,软件更新机制中的漏洞允许攻击者通过精心设计的更新包覆盖系统上的任意文件。

CVSS v3评分:8.0

受影响产品型号和版本:

  • CoaguChek Pro II–04.03.00之前的所有版本
  • CoaguChek XS Plus–03.01.06之前的所有版本
  • CoaguChek XS Pro–03.01.06之前的所有版本
  • cobas h 232–03.01.03之前的所有版本(序列号低于KQ0400000或KS0400000)
  • cobas h 232–04.00.04之前的所有版本(序列号低于KQ0400000或KS0400000)

第四个漏洞:CVE-2018-18564

漏洞描述:任意代码执行漏洞,对服务命令的不正确访问控制允许攻击者通过精心制作的消息在系统上执行任意代码。

CVSS v3评分:8.3

受影响产品型号和版本:

  • Accu-Chek Inform II Instrument–03.06.00之前的所有版本(序列号低于14000)/ 04.03.00之前的所有版本(序列号高于14000)
  • CoaguChek Pro II–04.03.00之前的所有版本
  • cobas h 232–04.00.04之前的所有版本(序列号高于KQ0400000或KS0400000)

第五个漏洞:CVE-2018-18565

漏洞描述:配置任意修改漏洞,不正确的访问控制允许攻击者更改仪器配置。

CVSS v3评分:8.2

受影响产品型号和版本:

  • Accu-Chek Inform II Instrument–03.06.00之前的所有版本(序列号低于14000)/ 04.03.00之前的所有版本(序列号高于14000)
  • CoaguChek Pro II–04.03.00之前的所有版本
  • CoaguChek XS Plus–03.01.06之前的所有版本
  • CoaguChek XS Pro–03.01.06之前的所有版本
  • cobas h 232–03.01.03之前的所有版本(序列号低于KQ0400000或KS0400000)
  • cobas h 232–04.00.04之前的所有版本(序列号低于KQ0400000或KS0400000)

罗氏提供的漏洞缓解措施

罗氏建议对联网设备(以太网和Wi-Fi)采取以下缓解措施:

  • 通过启用设备安全功能,限制对设备和连接的基础架构的网络和物理访问。
  • 保护连接的端点免受未经授权的访问、盗窃和恶意软件的侵害。
  • 监控系统和网络基础设施是否存在可疑活动,并根据当地政策向相关部门进行报告。

对于非联网设备:

  • 防止未经授权的访问、盗窃和操纵。

对于所有受影响的产品,罗氏已计划在2018年11月开始发布新的软件更新。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态