近日，美国国土安全部(DHS)表示，美敦力（Medtronic Valleylab）医疗设备存在高危漏洞，可让攻击者实现远程命令执行。

根据美国国土安全部（DHS）下属的网络安全和基础设施安全局（CISA）发布的一份安全报告，Medtronic Valleylab FT10和FX8设备近期修复了三个高危漏洞，可让攻击者获得非root权限的shell。

尽管从理论上来说，这些医疗产品上的网络连接和网络端口在默认情况下应该禁用，但实际情况恰好相反，这导致不少医疗设备会受到外部网络攻击的影响。

CISA表示，存在漏洞的设备使用了多组硬编码凭证，如果凭证被暴露，攻击者就可以读取敏感文件。该漏洞被标记为CVE-2019-13543，CVSS评分为5.8。

此外这些产品还使用DEScrypt算法去计算操作系统密码的哈希。尽管禁用了基于网络的登录，但是可以使用其他漏洞获得本地shell，得到这些哈希值。该漏洞被标记为CVE-2019-13539, CVSS评分为7.0。

而且这些产品中还使用了老旧版本的rssh（小型shell软件），可导致外部攻击者接触到系统敏感文件或执行任意命令。这些高危漏洞被标记为CVE-2019-3464和CVE-2019-3463，CVSS评分为9.8。

这些漏洞影响范围包括Valleylab Exchange客户端3.4版本及以下、Valleylab FT10 Energy Platform (VLFT10GEN)4.0.0版本及以下、Valleylab FX8 Energy Platform (VLFX8GEN)1.1.0版本及以下。

美敦力公司现在已发布了针对FT10平台的安全补丁，预计在2020年初发布用于FX8平台的安全补丁。

虽然存在很多问题，但美敦力还是建议医院继续使用这些设备。只要保持良好的使用习惯，不在非必要情况下将这些设备连接到医院网络就能保证设备安全。此外，最好时刻保持机器有人看护，直到安全补丁打上。

而CISA也建议这些存在漏洞的产品应禁止上网，或放在隔离网络中，确保公网的攻击者不能访问到设备。

DHS表示还有另外两个影响Valleylab FT10 Energy Platform (VLFT10GEN) 2.1.0及以下版本和2.0.3及以下版本的漏洞，以及Valleylab LS10 Energy Platform (VLLS10GEN) 1.20.2及以下版本的漏洞。

这些漏洞影响了这些设备的RFID安全机制，可让攻击者将虚假的仪器连接到受影响的产品上。由于未知的仪器和相关参数的错误，这可能会导致产品出现功能缺陷。

以上漏洞分别被标记为CVE-2019-13531，CVSS评分4.8，CVE-2019-13535，CVSS评分4.6。

目前这两个漏洞的安全补丁已经发布。

美敦力最后建议为保持设备的正常运行，请及时打上安全补丁，并在官方销售处购买设备。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.securityweek.com/dhs-warns-critical-flaws-medtronic-medical-devices