Medical Devices Authentication Hardcoded Credential слабая аутентификация
| CVSS Meta Temp Score | Текущая цена эксплойта (≈) | Балл интереса CTI |
|---|---|---|
| 9.0 | $0-$5k | 0.00 |
Сводка
Уязвимость, классифицированная как критический, была найдена в Medical Devices. Неизвестная функция компонента Аутентификация поражена. Манипуляция в рамках Hardcoded Credential приводит к слабая аутентификация. Более того, эксплойт доступен. Уязвимость имеет историческое воздействие благодаря своему фону и восприятию.
Подробности
Уязвимость, классифицированная как критический, была найдена в Medical Devices. Неизвестная функция компонента Аутентификация поражена. Манипуляция в рамках Hardcoded Credential приводит к слабая аутентификация. Использование классификатора CWE для обозначения проблемы ведет к CWE-287. Слабость была опубликована 13.06.2013 специалистом Billy Rios and Terry McCorkle от компании Cylance Inc. под идентификатором ICS-ALERT-13-164-01 - Medical Devices Hard-Coded Passwords как Консультация (Веб-сайт). Уведомление опубликовано для скачивания на ics-cert.us-cert.gov. Поставщик был вовлечен в процесс раскрытия уязвимости. Раскрытие содержит:
Because of the critical and unique status that medical devices occupy, ICS-CERT has been working in close cooperation with the Food and Drug Administration (FDA) in addressing these issues. ICS-CERT and the FDA have notified the affected vendors of the report and have asked the vendors to confirm the vulnerability and identify specific mitigations. ICS-CERT is issuing this alert to provide early notice of the report and identify baseline mitigations for reducing risks to these and other cybersecurity attacks. ICS-CERT and the FDA will follow up with specific advisories and information as appropriate.
Технические детали недоступны. Популярность этой уязвимости выше среднего. Более того, эксплойт доступен. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k. Уязвимость имеет историческое воздействие благодаря своему фону и восприятию. В уведомлении отмечается:
Researchers Billy Rios and Terry McCorkle of Cylance have reported a hard-coded password vulnerability affecting roughly 300 medical devices across approximately 40 vendors. According to their report, the vulnerability could be exploited to potentially change critical settings and/or modify device firmware.
Объявляется Доказательство концепции. В статусе 0-day примерная стоимость на черном рынке была около $5k-$25k.
В рекомендациях приведено следующее замечание:
Take steps to limit unauthorized device access to trusted users only, particularly for those devices that are life-sustaining or could be directly connected to hospital networks. Appropriate security controls may include: user authentication, for example, user ID and password, smartcard or biometric; strengthening password protection by avoiding hard?coded passwords and limiting public access to passwords used for technical device access; physical locks; card readers; and guards. Protect individual components from exploitation and develop strategies for active security protection appropriate for the device’s use environment. Such strategies should include timely deployment of routine, validated security patches and methods to restrict software or firmware updates to authenticated code. Note: The FDA typically does not need to review or approve medical device software changes made solely to strengthen cybersecurity. Use design approaches that maintain a device’s critical functionality, even when security has been compromised, known as "fail-safe modes." Provide methods for retention and recovery after an incident where security has been compromised. Cybersecurity incidents are increasingly likely and manufacturers should consider incident response plans that address the possibility of degraded operation and efficient restoration and recovery.
Затронуто
- Surgical/anesthesia devices
- Ventilators
- Drug infusion pumps
- External defibrillators
- Patient monitors
- Laboratory/analysis equipment
Продукт
Тип
Имя
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔍VulDB Надёжность: 🔍
CVSSv3
VulDB Meta Base Score: 9.8VulDB Meta Temp Score: 9.0
VulDB Базовый балл: 9.8
VulDB Временная оценка: 9.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍
Эксплуатация
Класс: слабая аутентификацияCWE: CWE-287
CAPEC: 🔍
ATT&CK: 🔍
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔍
Доступ: частный
Статус: Доказательство концепции
Автор: Billy Rios/Terry McCorkle
Прогноз цен: 🔍
Оценка текущей цены: 🔍
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: о смягчении не известноСтатус: 🔍
0-дневное время: 🔍
Firewalling: 🔍
Хронология
13.06.2013 🔍14.06.2013 🔍
19.03.2019 🔍
Источники
Консультация: ICS-ALERT-13-164-01 - Medical Devices Hard-Coded PasswordsИсследователь: Billy Rios, Terry McCorkle
Организация: Cylance Inc.
Статус: Не определено
Скоординированный: 🔍
GCVE (VulDB): GCVE-100-9140
OSVDB: 94230
scip Labs: https://www.scip.ch/en/?labs.20161013
Разное: 🔍
Вход
Создано: 14.06.2013 11:12Обновлено: 19.03.2019 15:06
Изменения: 14.06.2013 11:12 (52), 19.03.2019 15:06 (2)
Завершенный: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.