Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Roche-ren Point of Care osasun gailu eramangarrietan

Argitalpen data: 2018/11/07

Garrantzia: Handia

Kaltetutako baliabideak:

  • Accu-Chek Inform II.
  • CoaguChek Pro II, XS Plus eta XS Pro.
  • cobas h 232 POC.
  • Ekipoekin zerikusia duten oinarri unitateak (BU), oinarri unitateen nukleoak eta oinarri unitate eramangarriak ere (HBU) kaltetuta daude.

Azalpena:

Medigate-ko Niv Yehezkel ikertzaileak Rocheren Point of Care osasun gailu eramangarri ezberdinei eragiten dieten hainbat ahultasun aurkitu ditu, era ezberdinetakoak: autentifikazio desegokia, komandoen injekzioa sistema eragilean, arriskutsuak izan daitezkeen fitxategien karga murrizpenik gabe eta sarbide kontrol desegokia. Erasotzaile batek baimendu gabeko sarbidea lor lezake sistemaren konfigurazioa aldatzeko edo kode arbitrarioa exekutatzeko.

Konponbidea:

Rochek ondoko neurriak hartzea gomendatzen du:

  • Konektatutako gailuen kasuan (Ethernet nahiz Wifi):
    • Gailurako eta konektatutako azpiegiturarako sarbide fisikoa eta sarekoa murriztea, gailuaren segurtasun funtzioak gaituz.
    • Konektatutako azken gailuak baimendu gabeko sarbideetatik, lapurretatik eta asmo txarreko softwaretik babestea.
    • Sistema eta sare azpiegitura monitorizatzea jarduera susmagarriak bilatuz, eta egon litezkeen arriskuez informatzea bertako politikaren arabera.
  • Konektatuta ez dauden gailuen kasuan:
    • Baimendu gabeko sarbideetatik, lapurretatik eta manipulaziotik babestea.

Xehetasuna:

  • Alboko sarean legokeen erasotzaile batek sarbide kredentzial ahulak balia litzake baimendu gabeko sarbidea lortzeko zerbitzuaren interfazearen bidez. Ahultasun horretarako CVE-2018-18561 identifikatzailea erreserbatu da.
  • Zerbitzu interfaze bateko baimen ez-seguruak baliatuz, alboko sarean autentifikatutako erasotzaileek komando arbitrarioak exekuta litzakete sistema eragileetan. Ahultasun horretarako CVE-2018-18562 identifikatzailea erreserbatu da.
  • Softwarea eguneratzeko mekanismoak duen ahultasun bat baliatuz, alboko sarean legokeen erasotzaile batek sisteman fitxategi arbitrarioak gainidatz litzake, manipulatutako eguneraketa pakete baten bidez. Ahultasun horretarako CVE-2018-18563 identifikatzailea erreserbatu da.
  • Alboko sarean legokeen erasotzaile batek sisteman kode arbitrarioa exekuta lezake manipulatutako paketeen bidez, edo gailuaren konfigurazioa alda lezake sarbide kontrol desegoki batengatik. Ahultasun horietarako CVE-2018-18564 eta CVE-2018-18565 identifikatzaileak erreserbatu dira.
Etiketak: Ahultasuna