| CVSS 메타 임시 점수 | 현재 익스플로잇 가격 (≈) | CTI 관심 점수 |
|---|---|---|
| 9.0 | $0-$5k | 0.00 |
요약
취약점이 비판적인로 분류되어 Medical Devices에서 발견되었습니다. 영향을 받은 것은 지정되지 않은 함수입니다 구성 요소 인증에 속함. 조작 Hardcoded Credential의 일부로서의 결과로 약한 인증가 발생합니다. 더욱이, 이용 가능한 익스플로잇이 있습니다. 이 취약점은 그 배경과 반응으로 인해 역사적인 영향을 미칩니다.
세부
취약점이 비판적인로 분류되어 Medical Devices에서 발견되었습니다. 영향을 받은 것은 지정되지 않은 함수입니다 구성 요소 인증에 속함. 조작 Hardcoded Credential의 일부로서의 결과로 약한 인증가 발생합니다. CWE를 사용하여 문제를 명시하면 CWE-287로 이어집니다. 이 약점은 발표되었습니다 2013. 06. 13. Billy Rios and Terry McCorkle에 의해 Cylance Inc.와 함께 ICS-ALERT-13-164-01 - Medical Devices Hard-Coded Passwords로 권고로 (웹사이트). ics-cert.us-cert.gov에서 해당 권고문이 공유되고 있습니다. 공개 발표는 벤더와 협력하여 진행되었습니다. 공개 보고서에는 다음이 포함되어 있습니다:
Because of the critical and unique status that medical devices occupy, ICS-CERT has been working in close cooperation with the Food and Drug Administration (FDA) in addressing these issues. ICS-CERT and the FDA have notified the affected vendors of the report and have asked the vendors to confirm the vulnerability and identify specific mitigations. ICS-CERT is issuing this alert to provide early notice of the report and identify baseline mitigations for reducing risks to these and other cybersecurity attacks. ICS-CERT and the FDA will follow up with specific advisories and information as appropriate.
기술적인 세부 사항이 없습니다. 이 취약점의 인기도는 평균 이상입니다. 더욱이, 이용 가능한 익스플로잇이 있습니다. 현재 대략 미화 $0-$5k 정도일 수 있습니다가 이 익스플로잇의 현재 가격입니다. 이 취약점은 그 배경과 반응으로 인해 역사적인 영향을 미칩니다. 권고문에서는 다음과 같이 지적하고 있습니다:
Researchers Billy Rios and Terry McCorkle of Cylance have reported a hard-coded password vulnerability affecting roughly 300 medical devices across approximately 40 vendors. According to their report, the vulnerability could be exploited to potentially change critical settings and/or modify device firmware.
개념 증명로 선언됩니다. 0-day 취약점의 추정 암시장 가격은 $5k-$25k로 나타났습니다.
권고문에 다음과 같은 내용이 있습니다:
Take steps to limit unauthorized device access to trusted users only, particularly for those devices that are life-sustaining or could be directly connected to hospital networks. Appropriate security controls may include: user authentication, for example, user ID and password, smartcard or biometric; strengthening password protection by avoiding hard?coded passwords and limiting public access to passwords used for technical device access; physical locks; card readers; and guards. Protect individual components from exploitation and develop strategies for active security protection appropriate for the device’s use environment. Such strategies should include timely deployment of routine, validated security patches and methods to restrict software or firmware updates to authenticated code. Note: The FDA typically does not need to review or approve medical device software changes made solely to strengthen cybersecurity. Use design approaches that maintain a device’s critical functionality, even when security has been compromised, known as "fail-safe modes." Provide methods for retention and recovery after an incident where security has been compromised. Cybersecurity incidents are increasingly likely and manufacturers should consider incident response plans that address the possibility of degraded operation and efficient restoration and recovery.
영향 있음
- Surgical/anesthesia devices
- Ventilators
- Drug infusion pumps
- External defibrillators
- Patient monitors
- Laboratory/analysis equipment
제품
유형
이름
CPE 2.3
CPE 2.2
CVSSv4
VulDB 벡터: 🔍VulDB 신뢰성: 🔍
CVSSv3
VulDB 메타 베이스 점수: 9.8VulDB 메타 임시 점수: 9.0
VulDB 기본 점수: 9.8
VulDB 임시 점수: 9.0
VulDB 벡터: 🔍
VulDB 신뢰성: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 벡터 | 복잡성 | 인증 | 기밀성 | 진실성 | 유효성 |
|---|---|---|---|---|---|
| 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
| 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
| 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
VulDB 기본 점수: 🔍
VulDB 임시 점수: 🔍
VulDB 신뢰성: 🔍
악용
수업: 약한 인증CWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
물리적인: 아니요
현지: 아니요
원격: 네
유효성: 🔍
접근: 개인
상태: 개념 증명
저자: Billy Rios/Terry McCorkle
가격 예측: 🔍
현재 가격 추정: 🔍
| 0-Day | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
|---|---|---|---|---|
| 오늘 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 | 잠금 해제하다 |
위협 인텔리전스
관심: 🔍활성 배우: 🔍
활성 APT 그룹: 🔍
대책
추천: 알려진 완화 방법 없음상태: 🔍
0일 시간: 🔍
Firewalling: 🔍
타임라인
2013. 06. 13. 🔍2013. 06. 14. 🔍
2019. 03. 19. 🔍
출처
권고: ICS-ALERT-13-164-01 - Medical Devices Hard-Coded Passwords연구원: Billy Rios, Terry McCorkle
조직: Cylance Inc.
상태: 정의되지 않음
조정된: 🔍
GCVE (VulDB): GCVE-100-9140
OSVDB: 94230
scip Labs: https://www.scip.ch/en/?labs.20161013
기타: 🔍
항목
만들어진: 2013. 06. 14. AM 11:12업데이트됨: 2019. 03. 19. PM 03:06
변경 사항: 2013. 06. 14. AM 11:12 (52), 2019. 03. 19. PM 03:06 (2)
완벽한: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
아직 댓글이 없습니다. 언어: ko + en.
댓글을 작성하려면 로그인하세요.