罗氏医疗器械曝多个漏洞，可能会危及患者人身安全

一家网络安全公司在最近警告称，由瑞士健康事业公司罗氏（Roche）医疗诊断部门生产的几款医疗器械中存在多个安全漏洞，可能会让患者的人身安全面临风险。

来自以色列医疗设备安全企业Medigate的安全研究人员Niv Yehezkel发现，由罗氏生产的三款医疗器械存在五个安全漏洞。总的来说，这些漏洞会影响到Accu-Chek血糖仪、抗凝治疗医疗专业人员使用的CoaguChek凝血检测仪以及Cobas便携式手持血液分析仪。

在美国工业互联网安全应急响应中心（ICS-CERT）最近发布的一份咨询中，我们可以找到所有易受攻击的产品和版本的详细信息。值得注意的是，每一个漏洞都会影响罗氏医疗器械的多个型号和版本。

接下来，就让我们来看看详细的漏洞信息，以及它们所对应的医疗器械型号和版本。

第一个漏洞：CVE-2018-18561

漏洞描述：弱访问凭证漏洞，允许攻击者可以通过服务接口来获得未经授权的服务访问。

CVSS v3评分：6.5

受影响产品型号和版本：

Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本

第二个漏洞：CVE-2018-18562

漏洞描述：OS命令注入漏洞，服务接口中的不安全权限允许通过身份验证的攻击者在操作系统上执行任意命令。

CVSS v3评分：8.0

受影响产品型号和版本：

Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本

第三个漏洞：CVE-2018-18563

漏洞描述：任意文件覆盖漏洞，软件更新机制中的漏洞允许攻击者通过精心设计的更新包覆盖系统上的任意文件。

CVSS v3评分：8.0

受影响产品型号和版本：

CoaguChek Pro II–04.03.00之前的所有版本
CoaguChek XS Plus–03.01.06之前的所有版本
CoaguChek XS Pro–03.01.06之前的所有版本
cobas h 232–03.01.03之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号低于KQ0400000或KS0400000）

第四个漏洞：CVE-2018-18564

漏洞描述：任意代码执行漏洞，对服务命令的不正确访问控制允许攻击者通过精心制作的消息在系统上执行任意代码。

CVSS v3评分：8.3

受影响产品型号和版本：

Accu-Chek Inform II Instrument–03.06.00之前的所有版本（序列号低于14000）/ 04.03.00之前的所有版本（序列号高于14000）
CoaguChek Pro II–04.03.00之前的所有版本
cobas h 232–04.00.04之前的所有版本（序列号高于KQ0400000或KS0400000）

第五个漏洞：CVE-2018-18565

漏洞描述：配置任意修改漏洞，不正确的访问控制允许攻击者更改仪器配置。

CVSS v3评分：8.2

受影响产品型号和版本：

Accu-Chek Inform II Instrument–03.06.00之前的所有版本（序列号低于14000）/ 04.03.00之前的所有版本（序列号高于14000）
CoaguChek Pro II–04.03.00之前的所有版本
CoaguChek XS Plus–03.01.06之前的所有版本
CoaguChek XS Pro–03.01.06之前的所有版本
cobas h 232–03.01.03之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号低于KQ0400000或KS0400000）

罗氏提供的漏洞缓解措施

罗氏建议对联网设备（以太网和Wi-Fi）采取以下缓解措施：

通过启用设备安全功能，限制对设备和连接的基础架构的网络和物理访问。
保护连接的端点免受未经授权的访问、盗窃和恶意软件的侵害。
监控系统和网络基础设施是否存在可疑活动，并根据当地政策向相关部门进行报告。

对于非联网设备：

防止未经授权的访问、盗窃和操纵。

对于所有受影响的产品，罗氏已计划在2018年11月开始发布新的软件更新。