首页 > 清静研究 > 清静转达 > 清静通告

罗氏医疗器械多个高危误差清静通告

宣布时间 2018-11-20

误差编号和级别

CVE编号：CVE-2018-18561，，，危险级别：中危，，，CVSS分值：厂商自评 6.5，，，官方未评定
CVE编号：CVE-2018-18562，，，危险级别：高危，，，CVSS分值：厂商自评 8.0，，，官方未评定
CVE编号：CVE-2018-18563，，，危险级别：高危，，，CVSS分值：厂商自评 8.0，，，官方未评定
CVE编号：CVE-2018-18564，，，危险级别：高危，，，CVSS分值：厂商自评 8.3，，，官方未评定
CVE编号：CVE-2018-18565，，，危险级别：高危，，，CVSS分值：厂商自评 8.2，，，官方未评定

影响版本

Accu-Chek Inform II Base Unit / Base Unit Hub–03.01.04之前的所有版本
Accu-Chek Inform II Instrument–03.06.00之前的所有版本（序列号低于14000）/ 04.03.00之前的所有版本（序列号高于14000）
CoaguChek / cobas h232 Handheld Base Unit–03.01.04之前的所有版本
CoaguChek Pro II–04.03.00之前的所有版本
CoaguChek XS Plus–03.01.06之前的所有版本
CoaguChek XS Pro–03.01.06之前的所有版本
cobas h 232–03.01.03之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号低于KQ0400000或KS0400000）
cobas h 232–04.00.04之前的所有版本（序列号高于KQ0400000或KS0400000）

误差概述

瑞士康健事业公司罗氏（Roche）医疗诊断部学生产的几款医疗器械中保存多个清静误差，，，可能会让患者的人身清静面临危害。。。
来自以色列医疗装备清静企业Medigate的清静研究员Niv Yehezkel发明，，，由罗氏生产的三款医疗器械保存五个清静误差。。。总的来说，，，这些误差会影响到Accu-Chek血糖仪、抗凝治疗医疗专业职员使用的CoaguChek凝血检测仪以及Cobas便携式手持血液剖析仪。。。
在美国工业互联网清静应急响应中心（ICS-CERT）最近宣布的一份咨询中，，，我们可以找到所有易受攻击的产品和版本的详细信息。。。值得注重的是，，，每一个误差都会影响罗氏医疗器械的多个型号和版本。。。
CVE-2018-18561：误差形貌：弱会见凭证误差，，，允许攻击者可以通过效劳接口来获得未经授权的效劳会见。。。
CVE-2018-18562：误差形貌：OS下令注入误差，，，效劳接口中的不清静权限允许通过身份验证的攻击者在操作系统上执行恣意下令。。。
CVE-2018-18563：误差形貌：恣意文件笼罩误差，，，软件更新机制中的误差允许攻击者通过全心设计的更新包笼罩系统上的恣意文件。。。
CVE-2018-18564：误差形貌：恣意代码执行误差，，，对效劳下令的不准确会见控制允许攻击者通过全心制作的新闻在系统上执行恣意代码。。。
CVE-2018-18565：误差形貌：设置恣意修改误差，，，不准确的会见控制允许攻击者更改仪器设置。。。

误差验证

暂无POC/EXP

修复建议

罗氏建议春联网装备（以太网和Wi-Fi）接纳以下缓解步伐：
通过启用装备清静功效，，，限制对装备和毗连的基础架构的网络和物剖析见。。。
�；；；；づ亩说忝馐芪淳谌ǖ幕峒⑼登院投褚馊砑乃鸷Α�。。
监控系统和网络基础设施是否保存可疑活动，，，并凭证外地政策向相关部分举行报告。。。
关于非联网装备：
避免未经授权的会见、偷窃和使用。。。
关于所有受影响的产品，，，罗氏已妄想在2018年11月最先宣布新的软件更新。。。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSMA-18-310-01
https://www.securityfocus.com/bid/105843

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

罗氏医疗器械多个高危误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线