罗氏医疗器械曝多个漏洞,可能会危及患者人身安全
一家网络安全公司在最近警告称,由瑞士健康事业公司罗氏(Roche)医疗诊断部门生产的几款医疗器械中存在多个安全漏洞,可能会让患者的人身安全面临风险。
来自以色列医疗设备安全企业Medigate的安全研究人员Niv Yehezkel发现,由罗氏生产的三款医疗器械存在五个安全漏洞。总的来说,这些漏洞会影响到Accu-Chek血糖仪、抗凝治疗医疗专业人员使用的CoaguChek凝血检测仪以及Cobas便携式手持血液分析仪。
在美国工业互联网安全应急响应中心(ICS-CERT)最近发布的一份咨询中,我们可以找到所有易受攻击的产品和版本的详细信息。值得注意的是,每一个漏洞都会影响罗氏医疗器械的多个型号和版本。
接下来,就让我们来看看详细的漏洞信息,以及它们所对应的医疗器械型号和版本。
第一个漏洞:CVE-2018-18561
漏洞描述:弱访问凭证漏洞,允许攻击者可以通过服务接口来获得未经授权的服务访问。
CVSS v3评分:6.5
受影响产品型号和版本:
- Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
- CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本
第二个漏洞:CVE-2018-18562
漏洞描述:OS命令注入漏洞,服务接口中的不安全权限允许通过身份验证的攻击者在操作系统上执行任意命令。
CVSS v3评分:8.0
受影响产品型号和版本:
- Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
- CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本
第三个漏洞:CVE-2018-18563
漏洞描述:任意文件覆盖漏洞,软件更新机制中的漏洞允许攻击者通过精心设计的更新包覆盖系统上的任意文件。
CVSS v3评分:8.0
受影响产品型号和版本:
- CoaguChek Pro II–04.03.00之前的所有版本
- CoaguChek XS Plus–03.01.06之前的所有版本
- CoaguChek XS Pro–03.01.06之前的所有版本
- cobas h 232–03.01.03之前的所有版本(序列号低于KQ0400000或KS0400000)
- cobas h 232–04.00.04之前的所有版本(序列号低于KQ0400000或KS0400000)
第四个漏洞:CVE-2018-18564
漏洞描述:任意代码执行漏洞,对服务命令的不正确访问控制允许攻击者通过精心制作的消息在系统上执行任意代码。
CVSS v3评分:8.3
受影响产品型号和版本:
- Accu-Chek Inform II Instrument–03.06.00之前的所有版本(序列号低于14000)/ 04.03.00之前的所有版本(序列号高于14000)
- CoaguChek Pro II–04.03.00之前的所有版本
- cobas h 232–04.00.04之前的所有版本(序列号高于KQ0400000或KS0400000)
第五个漏洞:CVE-2018-18565
漏洞描述:配置任意修改漏洞,不正确的访问控制允许攻击者更改仪器配置。
CVSS v3评分:8.2
受影响产品型号和版本:
- Accu-Chek Inform II Instrument–03.06.00之前的所有版本(序列号低于14000)/ 04.03.00之前的所有版本(序列号高于14000)
- CoaguChek Pro II–04.03.00之前的所有版本
- CoaguChek XS Plus–03.01.06之前的所有版本
- CoaguChek XS Pro–03.01.06之前的所有版本
- cobas h 232–03.01.03之前的所有版本(序列号低于KQ0400000或KS0400000)
- cobas h 232–04.00.04之前的所有版本(序列号低于KQ0400000或KS0400000)
罗氏提供的漏洞缓解措施
罗氏建议对联网设备(以太网和Wi-Fi)采取以下缓解措施:
- 通过启用设备安全功能,限制对设备和连接的基础架构的网络和物理访问。
- 保护连接的端点免受未经授权的访问、盗窃和恶意软件的侵害。
- 监控系统和网络基础设施是否存在可疑活动,并根据当地政策向相关部门进行报告。
对于非联网设备:
- 防止未经授权的访问、盗窃和操纵。
对于所有受影响的产品,罗氏已计划在2018年11月开始发布新的软件更新。
罗氏医疗器械曝多个漏洞,可能会危及患者人身安全相关推荐
- 医疗器械软件网络安全相关
软件没有物理实体,在开发和使用过程中人为因素影响无处不在,软件测试由于时间和成本的限制不能穷尽所有情况,所以软件缺陷无法避免.同时,软件更新频繁且迅速,轻微更新也可能导致严重后果,而且还存在退化问题( ...
- 肠道重要基石菌属——罗氏菌属(Roseburia)
谷禾健康 罗氏菌属是共生细菌的一部分,在世界各地的人群中都有代表,占健康肠道细菌总数的 2-31%(谷禾数据库).产生短链脂肪酸,特别是丁酸,影响结肠运动,具抗炎特性. 罗氏菌属 の 基本特性 罗氏菌 ...
- 开源管理软件 OpenEMR 被曝多个漏洞,可被用于攻陷医疗基础设施
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 研究人员在 OpenEMR 软件中发现了多个漏洞,可被远程黑客用于获取医疗记录并攻陷医疗基础设施. OpenEMR 是一款为医疗组织机 ...
- 尚高拟收购医疗服务企业翔鹏佑康控股权;罗氏、武田、渤健新药纳入新版医保目录 | 医药健闻...
| 行业焦点 国家医疗保障局发布最新公告,罗氏抗流感新药速福达(英文商品名:Xofluza,中文通用名:玛巴洛沙韦)在国内获批八个月后,正式进入<国家基本医疗保险.工伤保险和生育保险药品目录(2 ...
- 医疗器械网络安全漏洞自评报告模板
提示:编制医疗器械网络安全漏洞自评报告要点解析 文章目录 1. 目的 2. 引用文件 3. CVSS漏洞等级 3.1 概述 3.1.1 适用范围说明 3.1.2 CNNVD-ID定义 3.1.3 编码 ...
- 2015-2023年全球医疗器械公司100强(附细分领域排行)
目录 2023全球医疗器械企业100强榜单,12家中国企业上榜 2022年度全球医疗器械公司100强排行榜 2021年全球医疗器械百强排行榜 2020年全球医疗器械企业100强公布(年份待定) 202 ...
- 2017年全球医疗器械公司TOP100分析表(转载)
随着技术难关的逐步突破,加上人力成本等相对优势,亚洲地区日渐晋升为全球最具发展潜力的市场.以中国为代表的亚洲新兴国家医疗器械行业表现突出,年复合增速甚至超过20%,显著高于发达国家的增长水平.但是由于 ...
- 罗氏将连续第四届参展进博会;全球首个基础胰岛素GLP-1RA注射液诺和益在中国获批 | 医药健闻...
| 行业焦点 罗氏连续第四届参展进博会.今年,罗氏将继续带来十多款重磅新药及新适应症,覆盖广谱抗肿瘤.血液肿瘤.罕见病.乳腺肿瘤.妇科肿瘤,免疫肿瘤及流感等重大疾病领域.此外,罗氏还将带来三款罕见病创 ...
- 2018医疗器械行业发展
2018医疗器械行业发展 1.定义 医疗器械是指直接或间接用于人体的仪器.设备.器具.体外诊断试剂及校准物.材料及其他类似或者相关的物品,包括所需要的软件,主要用于医疗诊断.监护和治疗.医疗器械产品品 ...
最新文章
- Jupyter Notebook显示图像
- Ubuntu上安装nginx步骤及问题记录
- Android之Android:layout_weight详解
- 误入前端三年,一个文科生的独白(上)
- python编码注释和平台注释_python注释是什么意思
- ubuntu mysql 迁移_(最新)ubuntu20.04LTS版迁移mysql8.0数据库的方法
- 在 SAP CRM Fiori 应用上给 Opportunity 订单添加 note 的后台执行明细
- mybatis批量插入10万条数据的优化过程
- 计算机考研各科目分数,考研各科目及分数
- mysql5.7安装完成后密码是多少_安装了mysql5.7后,如何进行配置(密码等)初始化...
- 如何使用JavaScript获取客户端的IP地址?
- Linux make 报错 pkg-config:not found
- python怎么将字母排序_请教如何用python按字母顺序排序英文名字但是不可以用sort函数...
- 如何在Mac终端删除U盘的隐藏文件
- 关于 Kubernetes中JobCronJob的一些笔记
- 10G PON 进入到全面部署阶段
- 游戏y欧系家角色设计没灵感怎么办?
- android handle 用法
- python 并行化 图像处理_Python数据预处理:使用Dask和Numba并行化加速
- iMeta | 大连海洋大学傅松哲和根特大学杨倩开发宏基因组测序和流式细胞术相结合的工作流程...