近日,美国国土安全部(DHS)表示,美敦力(Medtronic Valleylab)医疗设备存在高危漏洞,可让攻击者实现远程命令执行。
根据美国国土安全部(DHS)下属的网络安全和基础设施安全局(CISA)发布的一份安全报告,Medtronic Valleylab FT10和FX8设备近期修复了三个高危漏洞,可让攻击者获得非root权限的shell。
尽管从理论上来说,这些医疗产品上的网络连接和网络端口在默认情况下应该禁用,但实际情况恰好相反,这导致不少医疗设备会受到外部网络攻击的影响。
CISA表示,存在漏洞的设备使用了多组硬编码凭证,如果凭证被暴露,攻击者就可以读取敏感文件。该漏洞被标记为CVE-2019-13543
,CVSS评分为5.8。
此外这些产品还使用DEScrypt算法去计算操作系统密码的哈希。尽管禁用了基于网络的登录,但是可以使用其他漏洞获得本地shell,得到这些哈希值。该漏洞被标记为CVE-2019-13539
, CVSS评分为7.0。
而且这些产品中还使用了老旧版本的rssh(小型shell软件),可导致外部攻击者接触到系统敏感文件或执行任意命令。这些高危漏洞被标记为CVE-2019-3464
和CVE-2019-3463
,CVSS评分为9.8。
这些漏洞影响范围包括Valleylab Exchange客户端3.4版本及以下、Valleylab FT10 Energy Platform (VLFT10GEN)4.0.0版本及以下、Valleylab FX8 Energy Platform (VLFX8GEN)1.1.0版本及以下。
美敦力公司现在已发布了针对FT10平台的安全补丁,预计在2020年初发布用于FX8平台的安全补丁。
虽然存在很多问题,但美敦力还是建议医院继续使用这些设备。只要保持良好的使用习惯,不在非必要情况下将这些设备连接到医院网络就能保证设备安全。此外,最好时刻保持机器有人看护,直到安全补丁打上。
而CISA也建议这些存在漏洞的产品应禁止上网,或放在隔离网络中,确保公网的攻击者不能访问到设备。
DHS表示还有另外两个影响Valleylab FT10 Energy Platform (VLFT10GEN) 2.1.0及以下版本和2.0.3及以下版本的漏洞,以及Valleylab LS10 Energy Platform (VLLS10GEN) 1.20.2及以下版本的漏洞。
这些漏洞影响了这些设备的RFID安全机制,可让攻击者将虚假的仪器连接到受影响的产品上。由于未知的仪器和相关参数的错误,这可能会导致产品出现功能缺陷。
以上漏洞分别被标记为CVE-2019-13531
,CVSS评分4.8,CVE-2019-13535
,CVSS评分4.6。
目前这两个漏洞的安全补丁已经发布。
美敦力最后建议为保持设备的正常运行,请及时打上安全补丁,并在官方销售处购买设备。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3155.html 来源:https://www.securityweek.com/dhs-warns-critical-flaws-medtronic-medical-devices
来源:freebuf.com 2019-11-11 17:48:26 by: 白帽汇
请登录后发表评论
注册