首頁 > 安全研究 > 安全通報 > 安全通告

美敦力醫療設備多個漏洞安全通告

發布時間 2019-11-11

漏洞編號和級別


CVE編號:CVE-2019-13543,危險級別:中危,CVSS分值:廠商自評:5.8,官方未評定

CVE編號:CVE-2019-13539,危險級別:高危,CVSS分值:廠商自評:7.0,官方未評定

CVE編號:CVE-2019-3464,危險級別:嚴重,CVSS分值:9.8

CVE編號:CVE-2019-3463,危險級別:嚴重,CVSS分值:9.8


影響版本


Valleylab Exchange Client 3.4及更低版本

Valleylab FT10能源平臺(VLFT10GEN)軟件版本4.0.0及以下

Valleylab FX8能源平臺(VLFX8GEN)軟件版本1.1.0及以下


漏洞概述


美國美敦力公司(Medtronic, Inc.)成立于1949年,總部位于美國明尼蘇達州明尼阿波利斯市,是全球領先的醫療科技公司。其中Valleylab產品存在以下漏洞:


CVE-2019-13543


受影響的設備使用多組硬編碼的憑據,如果暴露,則可能允許攻擊者讀取文件。


CVE-2019-13539


易受攻擊的產品使用descrypt算法進行OS密碼哈希處理。盡管基于網絡的登錄已禁用,但其他漏洞也可以用于獲取本地Shell訪問并獲取這些哈希。


CVE-2019-3464和CVE-2019-3463


在這些產品中使用的易受攻擊的rssh實用程序版本可促進文件上傳,這可能會使攻擊者獲得對文件的管理訪問權限或執行任意代碼。


漏洞驗證


暫無POC/EXP。


修復建議


美敦力公司發布的安全補丁現已可用于FT10平臺,預計將在2020年初針對FX8平臺發布:https://www.medtronic.com/covidien/en-us/support/software.html。


參考鏈接


https://www.us-cert.gov/ics/advisories/icsma-19-311-02


上一篇 下一篇