首页 > 安全钻研 > 安全传递 > 安全公告

罗氏医疗器械多个高危缝隙安全公告

颁布功夫 2018-11-20

缝隙编号和级别

CVE编号：CVE-2018-18561，危险级别：中危，CVSS分值：厂商自评 6.5，官方未评定
CVE编号：CVE-2018-18562，危险级别：高危，CVSS分值：厂商自评 8.0，官方未评定
CVE编号：CVE-2018-18563，危险级别：高危，CVSS分值：厂商自评 8.0，官方未评定
CVE编号：CVE-2018-18564，危险级别：高危，CVSS分值：厂商自评 8.3，官方未评定
CVE编号：CVE-2018-18565，危险级别：高危，CVSS分值：厂商自评 8.2，官方未评定

影响版本

Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
Accu-Chek Inform II Instrument–03.06.00之前的所有版本（序列号低于14000）/ 04.03.00之前的所有版本（序列号高于14000）
CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本
CoaguChek Pro II–04.03.00之前的所有版本
CoaguChek XS Plus–03.01.06之前的所有版本
CoaguChek XS Pro–03.01.06之前的所有版本
cobas h 232–03.01.03之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号高于KQ0400000或KS0400000）

缝隙概述

瑞士健全事业公司罗氏（Roche）医疗诊断部门分娩的几款医疗器械中存在多个安全缝隙，可能会让患者的人身安全面对风险。
来自以色列医疗设备安全企业Medigate的安全钻研员Niv Yehezkel发现，由罗氏出产的三款医疗器械存在五个安全缝隙。总的来说，这些缝隙会影响到Accu-Chek血糖仪、抗凝医治医疗专业人员使用的CoaguChek凝血检测仪以及Cobas便携式手持血液分析仪。
在美国工业互联网安全应急响应中心（ICS-CERT）最近颁布的一份征询中，我们能够找到所有易受攻击的产品和版本的具体信息。值妥贴心的是，每一个缝隙城市影响罗氏医疗器械的多个型号和版本。
CVE-2018-18561：缝霞述：弱接见凭证缝隙，允许攻击者能够通过服务接口来获得未经授权的服务接见。
CVE-2018-18562：缝霞述：OS号令注入缝隙，服务接口中的不安全权限允许通过身份验证的攻击者在操作系统上执行肆意号令。
CVE-2018-18563：缝霞述：肆意文件覆盖缝隙，软件更新机造中的缝隙允许攻击者通过精心设计的更新包覆盖系统上的肆意文件。
CVE-2018-18564：缝霞述：肆意代码执行缝隙，对服务号令的不正确接见节造允许攻击者通过精心造作的新闻在系统上执行肆意代码。
CVE-2018-18565：缝霞述：配置肆意批改缝隙，不正确的接见节造允许攻击者更改仪器配置。

缝隙验证

暂无POC/EXP

建复建议

罗氏建议春联网设备（以太网和Wi-Fi）采取以下缓解措施：
通过启用设备安全职能，限度对设备和衔接的基础架构的网络和物理接见。
�；は谓拥亩说忝馐芪淳谌ǖ慕蛹⑼登院投褚馊砑那趾�。
监控系统和网络基础设施是否存在可疑活动，并凭据本地政策向有关部门进行汇报。
对于非联网设备：
预防未经授权的接见、偷窃和把持。
对于所有受影响的产品，罗氏已打算在2018年11月起头颁布新的软件更新。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSMA-18-310-01
https://www.securityfocus.com/bid/105843

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

罗氏医疗器械多个高危缝隙安全公告

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线