聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
运营技术安全厂商 Nozomi Networks 在技术报告中提到,“这些缺陷造成的影响是多方面的:可在超声设备上植入勒索软件、访问并操纵存储在易受攻击设备上的患者数据等不一而足。”
这些缺陷影响 Vivid T9 哨声系统及其预安装 Common Service Desktop web 应用程序,该应用程序被暴露在设备的本地主机界面,可导致用户执行管理员操作。它们还影响另一款安装在医生 Windows 工作站上的 EchoPAC。EchoPAC 帮助医生访问多维度的回声、血管和腹部超声波图像。
威胁行动者需要受陷访问医院环境和物理接触该设备才能成功利用这些缺陷,之后可通过管理员权限实现任意代码执行后果。在假设的攻击场景中,恶意人员可植入勒索软件 payload 甚至提取或篡改患者信息,来锁定 Vivid T9 系统。
在这些漏洞中,最严重的是CVE-2024-27107(CVSS评分9.6),与使用硬编码凭据有关。其它缺陷与命令注入 (CVE-2024-1628)、不必要权限的执行(CVE-2024-27110和CVE-2020-6977)、路径遍历(CVE-2024-1630和CVE-2024-1629)以及防护机制失败(CVE-202--6977)有关。
研究人员使用的利用链可利用CVE-2020-6977获得对设备的本地访问权限,之后利用CVE-2024-1628来实现代码执行。研究人员表示,“然而,为了加速该流程,攻击者还可滥用被暴露的 USB 端口并附加恶意闪盘,模拟键盘和鼠标,以比人类更快的速度自动执行所有必要步骤。”
或者,攻击者可使用通过其它方式收集的被盗VPN凭据,获得对医院内网的访问权限,扫描易受攻击的 EchoPAC 的安装,之后利用CVE-2024-27107来获得对患者数据库的访问权限,从而攻陷其机密性、完整性和可用性。
GE HealthCare 发布一系列安全公告指出,“现有的缓解和控制”将这些缺陷引发的风险控制在可接受的程度。该公司提到,“在不可能发生的情况下,具有物理访问权限的恶意人员可导致设备不可用,设备的预期用户将会发现清楚的提示。该漏洞仅可被拥有对设备直接的物理访问权限的人员利用。”
几周前,Windows 版的Merge DICOM Toolkit 中也被指存在多个漏洞(CVE-2024-23912、CVE-2024-23913和CVE-2024-23914),它们可被用于在 DICOM 服务上触发拒绝服务条件,目前已在该库的 v5.18版本中修复。
前不久,西门子SIMATIC Energy Manager (EnMPro) 产品中被指存在CVSS评分为10分的漏洞CVE-2022-23450。攻击者可通过发送恶意构造的对象以系统权限执行任意代码。Claroty 公司的研究员 Noam Moshe 表示,“成功利用该漏洞的攻击者可远程执行代码并获得对 EnMPro 服务器的完全控制权限。”强烈建议用户更新至 v7.3 Update 1或后续版本,因为该版本之前的所有版本均包含该不安全的反序列化漏洞。
集成在物联网设备中的ThroughTek Kalay 平台商业存在多个弱点(从CVE-2023-5321到CVE-2023-6324的编号),可导致攻击者提升权限、以root身份执行命令并建立与受害者设备的连接。
罗马尼亚安全公司 Bitdefender 表示,“当组合利用这些漏洞时,可导致攻击者从本地权限获得越权的root访问权限,并通过远程代码执行来完全攻陷受害者设备。只有当该设备被从本地网络侦查时才能实现远程代码执行后果。”在2023年10月前收到研究人员的漏洞报告后,该公司在2024年4月修复。这些漏洞影响多家厂商如 Owlet、Roku和Wyze 生产的婴儿监控器和室内安全摄像头,可导致攻击者组合利用这些漏洞,在设备上执行任意命令。该公司补充表示,“这些漏洞的修复远远超过理论利用的范围,因为它们直接影响受 ThroughTek Kalay 驱动的设备用户的隐私和安全。”
https://thehackernews.com/2024/05/researchers-uncover-11-security-flaws.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~