首页 > 安全钻研 > 安全传递 > 安全公告

罗氏医疗器械多个高危缝隙安全公告

颁布功夫 2018-11-20

缝隙编号和级别

CVE编号：CVE-2018-18561，，，，，，，危险级别：中危，，，，，，，CVSS分值：厂商自评 6.5，，，，，，，官方未评定
CVE编号：CVE-2018-18562，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评 8.0，，，，，，，官方未评定
CVE编号：CVE-2018-18563，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评 8.0，，，，，，，官方未评定
CVE编号：CVE-2018-18564，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评 8.3，，，，，，，官方未评定
CVE编号：CVE-2018-18565，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评 8.2，，，，，，，官方未评定

影响版本

Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
Accu-Chek Inform II Instrument–03.06.00之前的所有版本（序列号低于14000）/ 04.03.00之前的所有版本（序列号高于14000）
CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本
CoaguChek Pro II–04.03.00之前的所有版本
CoaguChek XS Plus–03.01.06之前的所有版本
CoaguChek XS Pro–03.01.06之前的所有版本
cobas h 232–03.01.03之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号高于KQ0400000或KS0400000）

缝隙概述

瑞士健全事业公司罗氏（Roche）医疗诊断部门分娩的几款医疗器械中存在多个安全缝隙，，，，，，，可能会让患者的人身安全面对风险。。。。。。
来自以色列医疗设备安全企业Medigate的安全钻研员Niv Yehezkel发现，，，，，，，由罗氏出产的三款医疗器械存在五个安全缝隙。。。。。。总的来说，，，，，，，这些缝隙会影响到Accu-Chek血糖仪、抗凝医治医疗专业人员使用的CoaguChek凝血检测仪以及Cobas便携式手持血液分析仪。。。。。。
在美国工业互联网安全应急响应中心（ICS-CERT）最近颁布的一份征询中，，，，，，，我们能够找到所有易受攻击的产品和版本的具体信息。。。。。。值妥贴心的是，，，，，，，每一个缝隙城市影响罗氏医疗器械的多个型号和版本。。。。。。
CVE-2018-18561：缝霞述：弱接见凭证缝隙，，，，，，，允许攻击者能够通过服务接口来获得未经授权的服务接见。。。。。。
CVE-2018-18562：缝霞述：OS号令注入缝隙，，，，，，，服务接口中的不安全权限允许通过身份验证的攻击者在操作系统上执行肆意号令。。。。。。
CVE-2018-18563：缝霞述：肆意文件覆盖缝隙，，，，，，，软件更新机造中的缝隙允许攻击者通过精心设计的更新包覆盖系统上的肆意文件。。。。。。
CVE-2018-18564：缝霞述：肆意代码执行缝隙，，，，，，，对服务号令的不正确接见节造允许攻击者通过精心造作的新闻在系统上执行肆意代码。。。。。。
CVE-2018-18565：缝霞述：配置肆意批改缝隙，，，，，，，不正确的接见节造允许攻击者更改仪器配置。。。。。。

缝隙验证

暂无POC/EXP

建复建议

罗氏建议春联网设备（以太网和Wi-Fi）采取以下缓解措施：
通过启用设备安全职能，，，，，，，限度对设备和衔接的基础架构的网络和物理接见。。。。。。
保唬唬唬唬�；は谓拥亩说忝馐芪淳谌ǖ慕蛹⑼登院投褚馊砑那趾�。。。。。。
监控系统和网络基础设施是否存在可疑活动，，，，，，，并凭据本地政策向有关部门进行汇报。。。。。。
对于非联网设备：
预防未经授权的接见、偷窃和把持。。。。。。
对于所有受影响的产品，，，，，，，罗氏已打算在2018年11月起头颁布新的软件更新。。。。。。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSMA-18-310-01
https://www.securityfocus.com/bid/105843

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

罗氏医疗器械多个高危缝隙安全公告

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线