工控系統網絡應急響應小組(ICS-CERT)周二發布的 公告 顯示,一個被廣泛使用的用藥管理系統中存在超過1400個漏洞。
安全研究者的獨立之道Pyxis SupplyStation是由美國CareFusion公司制造的一套用于醫療行業的自動化供應管理系統。這一系統被廣泛運用于醫療保健行業,進行醫療用品的發放并能實時跟蹤存量。
兩位獨立安全研究員Billy Rios和Mike Ahmadi通過一個第三方平臺買到了一個“二手”的SupplyStation進行漏洞研究。在有安全保護的系統中, 他們使用了一個自動化軟件構成分析工具進行靜態二進制分析,挖掘硬件的漏洞 。需要強調的一點是,這些漏洞存在于8.0到9.3版本中,運行在微軟2003或者XP系統的服務器上。
研究者稱僅8.1.3系統上就有1418個漏洞,而那個系統自2010年起就沒有進行過更新了。據ICS-CERT介紹,這些漏洞覆蓋了7個第三方供應商軟件包和84個不同的文件。這些過時的第三方軟件組件,包括BMC Appsight、SAP Crystal Reports和微軟Windows XP。
昨天,Ahmadi在博客中寫道:
“第三方軟件包的問題非常值得關注,這也是我們在過去幾年中一直強調的。多達90%的軟件采用第三方開發。”
由于CareFusion認為這些有漏洞的設備已經不再進行使用了,因此就放棄補丁,而為使用者提供緩減措施,以此降低開發風險。盡管CareFusion公司一直敦促用戶將系統與互聯網隔離,但是這樣的方式只能治標不治本。
對待漏洞,廠商態度好轉Rios已經在系統中發現了許多漏洞,其中也包括 2014年被曝出的可以讓攻擊者進行遠程控制的漏洞 。直到去年春天,CareFusion被收購之后,處理漏洞的態度才開始有所好轉。
Rios告訴媒體:
“幾年前,我報告了一些影響Carefusion產品的漏洞,卻很少得到反饋。自從他們被收購之后,響應就積極多了。”
據Ahmadi介紹 ,收購CareFusion的BD公司產品安全負責人Rob Suarez并沒有否認漏洞的存在。Ahmadi說這種與廠商的合作非常重要,Suarez甚至還提供了Pyxis SupplyStation所有六個系統(8.0、8.1.3、9.0、9.1、9.2、9.3)用于這次的安全研究。
情況與2014年大不相同,這份報告中提及的所有漏洞都已經被廠商、供應商確認。
Rios說:
“第一份公告中沒有變種的分析,看起來像是Carefusion淡化了出現的問題。而第二份報告列出了所有受影響版本,也獲得了BD的認可,這是一個極大的進步。”
京公網安備 11010502049343號