神刀安全网

供应链安全问题再现:一个药品管理系统怎么会有1400个漏洞?

工控系统网络应急响应小组(ICS-CERT)周二发布的 公告 显示,一个被广泛使用的用药管理系统中存在超过1400个漏洞。

安全研究者的独立之道

Pyxis SupplyStation是由美国CareFusion公司制造的一套用于医疗行业的自动化供应管理系统。这一系统被广泛运用于医疗保健行业,进行医疗用品的发放并能实时跟踪存量。

两位独立安全研究员Billy Rios和Mike Ahmadi通过一个第三方平台买到了一个“二手”的SupplyStation进行漏洞研究。在有安全保护的系统中, 他们使用了一个自动化软件构成分析工具进行静态二进制分析,挖掘硬件的漏洞 。需要强调的一点是,这些漏洞存在于8.0到9.3版本中,运行在微软2003或者XP系统的服务器上。

研究者称仅8.1.3系统上就有1418个漏洞,而那个系统自2010年起就没有进行过更新了。据ICS-CERT介绍,这些漏洞覆盖了7个第三方供应商软件包和84个不同的文件。这些过时的第三方软件组件,包括BMC Appsight、SAP Crystal Reports和微软Windows XP。

昨天,Ahmadi在博客中写道:

“第三方软件包的问题非常值得关注,这也是我们在过去几年中一直强调的。多达90%的软件采用第三方开发。”

由于CareFusion认为这些有漏洞的设备已经不再进行使用了,因此就放弃补丁,而为使用者提供缓减措施,以此降低开发风险。尽管CareFusion公司一直敦促用户将系统与互联网隔离,但是这样的方式只能治标不治本。

供应链安全问题再现:一个药品管理系统怎么会有1400个漏洞?

对待漏洞,厂商态度好转

Rios已经在系统中发现了许多漏洞,其中也包括 2014年被曝出的可以让攻击者进行远程控制的漏洞 。直到去年春天,CareFusion被收购之后,处理漏洞的态度才开始有所好转。 

Rios告诉媒体:

“几年前,我报告了一些影响Carefusion产品的漏洞,却很少得到反馈。自从他们被收购之后,响应就积极多了。”

据Ahmadi介绍 ,收购CareFusion的BD公司产品安全负责人Rob Suarez并没有否认漏洞的存在。Ahmadi说这种与厂商的合作非常重要,Suarez甚至还提供了Pyxis SupplyStation所有六个系统(8.0、8.1.3、9.0、9.1、9.2、9.3)用于这次的安全研究。

情况与2014年大不相同,这份报告中提及的所有漏洞都已经被厂商、供应商确认。

Rios说:

“第一份公告中没有变种的分析,看起来像是Carefusion淡化了出现的问题。而第二份报告列出了所有受影响版本,也获得了BD的认可,这是一个极大的进步。”

*参考来源: threatpost ,FB小编明明知道编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 供应链安全问题再现:一个药品管理系统怎么会有1400个漏洞?

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮