VDB-9140 · OSVDB 94230 · GCVE-100-9140

Medical Devices Authentication Hardcoded Credential 弱い認証

CVSS 一時的なメタスコア現在のエクスプロイト価格 (≈)CTI注目指数
9.0$0-$5k0.00

要約情報

Medical Devices内に 重大 として分類された脆弱性が発見されました。 影響を受けるのは 不明な関数 コンポーネント認証のです。 操作 Hardcoded Credentialの一部としての結果として 弱い認証につながります。 攻撃手法は利用できません。 特殊な手法を用いるこの脆弱性は、歴史的に衝撃的として記憶されるでしょう。

詳細情報

Medical Devices内に 重大 として分類された脆弱性が発見されました。 影響を受けるのは 不明な関数 コンポーネント認証のです。 操作 Hardcoded Credentialの一部としての結果として 弱い認証につながります。 CWEによる問題の宣言は、CWE-287 につながります。 この弱点は発表されました 2013年06月13日 Billy Rios and Terry McCorkleによって (Cylance Inc.とともに) ICS-ALERT-13-164-01 - Medical Devices Hard-Coded Passwordsとして 勧告として (ウェブサイト)。 アドバイザリはics-cert.us-cert.govで提供されています。 ベンダーと連携して公開リリースが実施されました。 開示内容は以下の通りです:

Because of the critical and unique status that medical devices occupy, ICS-CERT has been working in close cooperation with the Food and Drug Administration (FDA) in addressing these issues. ICS-CERT and the FDA have notified the affected vendors of the report and have asked the vendors to confirm the vulnerability and identify specific mitigations. ICS-CERT is issuing this alert to provide early notice of the report and identify baseline mitigations for reducing risks to these and other cybersecurity attacks. ICS-CERT and the FDA will follow up with specific advisories and information as appropriate.

技術的な詳細は利用できません。 この脆弱性の人気度は平均以上です。 攻撃手法は利用できません。 現在の時点で、エクスプロイトの価格はおおよそUSD $0-$5kかもしれません。 特殊な手法を用いるこの脆弱性は、歴史的に衝撃的として記憶されるでしょう。 勧告では次の点が指摘されています:

Researchers Billy Rios and Terry McCorkle of Cylance have reported a hard-coded password vulnerability affecting roughly 300 medical devices across approximately 40 vendors. According to their report, the vulnerability could be exploited to potentially change critical settings and/or modify device firmware.

概念実証 として宣言されています。 0dayにはおよそ $5k-$25k の価値があったと予想しています。 】のプラグインを提供しています。

アドバイザリには以下のようなコメントが記載されています:

Take steps to limit unauthorized device access to trusted users only, particularly for those devices that are life-sustaining or could be directly connected to hospital networks. Appropriate security controls may include: user authentication, for example, user ID and password, smartcard or biometric; strengthening password protection by avoiding hard?coded passwords and limiting public access to passwords used for technical device access; physical locks; card readers; and guards. Protect individual components from exploitation and develop strategies for active security protection appropriate for the device’s use environment. Such strategies should include timely deployment of routine, validated security patches and methods to restrict software or firmware updates to authenticated code. Note: The FDA typically does not need to review or approve medical device software changes made solely to strengthen cybersecurity. Use design approaches that maintain a device’s critical functionality, even when security has been compromised, known as "fail-safe modes." Provide methods for retention and recovery after an incident where security has been compromised. Cybersecurity incidents are increasingly likely and manufacturers should consider incident response plans that address the possibility of degraded operation and efficient restoration and recovery.

影響あり

  • Surgical/anesthesia devices
  • Ventilators
  • Drug infusion pumps
  • External defibrillators
  • Patient monitors
  • Laboratory/analysis equipment

製品情報

タイプ

名前

CPE 2.3情報

CPE 2.2情報

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 9.8
VulDB 一時的なメタスコア: 9.0

VulDB ベーススコア: 9.8
VulDB 一時的なスコア: 9.0
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv2情報

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ベクトル複雑さ認証機密性完全性可用性
解除解除解除解除解除解除
解除解除解除解除解除解除
解除解除解除解除解除解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

悪用情報

クラス: 弱い認証
CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍

物理的: いいえ
ローカル: いいえ
リモート: はい

可用性: 🔍
アクセス: プライベート
ステータス: 概念実証
著者: Billy Rios/Terry McCorkle
価格予測: 🔍
現在の価格評価: 🔍

0-Day解除解除解除解除
本日解除解除解除解除

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: 既知の緩和策なし
ステータス: 🔍

0day日時: 🔍

Firewalling: 🔍

タイムライン情報

2013年06月13日 🔍
2013年06月14日 +1 日 🔍
2019年03月19日 +2104 日 🔍

ソース情報

勧告: ICS-ALERT-13-164-01 - Medical Devices Hard-Coded Passwords
調査者: Billy Rios, Terry McCorkle
組織: Cylance Inc.
ステータス: 未定義
調整済み: 🔍

GCVE (VulDB): GCVE-100-9140
OSVDB: 94230

scip Labs: https://www.scip.ch/en/?labs.20161013
その他: 🔍

エントリ情報

作成済み: 2013年06月14日 11:12
更新済み: 2019年03月19日 15:06
変更: 2013年06月14日 11:12 (52), 2019年03月19日 15:06 (2)
完了: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

討論

コメントはまだありません。 言語: ja + en.

コメントするにはログインしてください。

Want to stay up to date on a daily basis?

Enable the mail alert feature now!