首页 > 清静研究 > 清静转达 > 清静通告

罗氏医疗器械多个高危误差清静通告

宣布时间 2018-11-20

误差编号和级别

CVE编号：CVE-2018-18561，，，，，，，危险级别：中危，，，，，，，CVSS分值：厂商自评 6.5，，，，，，，官方未评定
CVE编号：CVE-2018-18562，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评 8.0，，，，，，，官方未评定
CVE编号：CVE-2018-18563，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评 8.0，，，，，，，官方未评定
CVE编号：CVE-2018-18564，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评 8.3，，，，，，，官方未评定
CVE编号：CVE-2018-18565，，，，，，，危险级别：高危，，，，，，，CVSS分值：厂商自评 8.2，，，，，，，官方未评定

影响版本

Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
Accu-Chek Inform II Instrument–03.06.00之前的所有版本（序列号低于14000）/ 04.03.00之前的所有版本（序列号高于14000）
CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本
CoaguChek Pro II–04.03.00之前的所有版本
CoaguChek XS Plus–03.01.06之前的所有版本
CoaguChek XS Pro–03.01.06之前的所有版本
cobas h 232–03.01.03之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号高于KQ0400000或KS0400000）

误差概述

瑞士康健事业公司罗氏（Roche）医疗诊断部学生产的几款医疗器械中保存多个清静误差，，，，，，，可能会让患者的人身清静面临危害。。。。。。。
来自以色列医疗装备清静企业Medigate的清静研究员Niv Yehezkel发明，，，，，，，由罗氏生产的三款医疗器械保存五个清静误差。。。。。。。总的来说，，，，，，，这些误差会影响到Accu-Chek血糖仪、抗凝治疗医疗专业职员使用的CoaguChek凝血检测仪以及Cobas便携式手持血液剖析仪。。。。。。。
在美国工业互联网清静应急响应中心（ICS-CERT）最近宣布的一份咨询中，，，，，，，我们可以找到所有易受攻击的产品和版本的详细信息。。。。。。。值得注重的是，，，，，，，每一个误差都会影响罗氏医疗器械的多个型号和版本。。。。。。。
CVE-2018-18561：误差形貌：弱会见凭证误差，，，，，，，允许攻击者可以通过效劳接口来获得未经授权的效劳会见。。。。。。。
CVE-2018-18562：误差形貌：OS下令注入误差，，，，，，，效劳接口中的不清静权限允许通过身份验证的攻击者在操作系统上执行恣意下令。。。。。。。
CVE-2018-18563：误差形貌：恣意文件笼罩误差，，，，，，，软件更新机制中的误差允许攻击者通过全心设计的更新包笼罩系统上的恣意文件。。。。。。。
CVE-2018-18564：误差形貌：恣意代码执行误差，，，，，，，对效劳下令的不准确会见控制允许攻击者通过全心制作的新闻在系统上执行恣意代码。。。。。。。
CVE-2018-18565：误差形貌：设置恣意修改误差，，，，，，，不准确的会见控制允许攻击者更改仪器设置。。。。。。。

误差验证

暂无POC/EXP

修复建议

罗氏建议春联网装备（以太网和Wi-Fi）接纳以下缓解步伐：
通过启用装备清静功效，，，，，，，限制对装备和毗连的基础架构的网络和物剖析见。。。。。。。
保�；；；；；；づ亩说忝馐芪淳谌ǖ幕峒⑼登院投褚馊砑乃鸷�。。。。。。。
监控系统和网络基础设施是否保存可疑活动，，，，，，，并凭证外地政策向相关部分举行报告。。。。。。。
关于非联网装备：
避免未经授权的会见、偷窃和使用。。。。。。。
关于所有受影响的产品，，，，，，，罗氏已妄想在2018年11月最先宣布新的软件更新。。。。。。。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSMA-18-310-01
https://www.securityfocus.com/bid/105843

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

罗氏医疗器械多个高危误差清静通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线