聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周,美国网络安全和基础设施安全局(CISA)提醒注意,位于广泛用于医疗和关键制造业中的两个ICS漏洞易遭利用。
这些漏洞影响 Baxter(百特)的Connex Health Portal 和 Mitsubishi(三菱)电机的MELSEC 可编程控制器产线。百特和三菱均已发布更新,并提出客户可进一步缓解风险的缓解措施。
百特 Connex 漏洞
CISA 在安全公告中提到,百特 Connex Health Portal 中存在两个可远程遭利用且攻击复杂度低的漏洞。其中一个漏洞CVE-2024-6795是一个CVSS满分的SQL注入漏洞,可被未认证攻击者用于在受影响系统上运行任意SQL查询。CISA提到该漏洞可导致攻击者访问、修改和删除敏感数据并采取其它管理员级别的操作如关闭数据库。
百特 Connex Health Portal 中的另一个漏洞CVE-2024-6796和访问控制不当有关,CVSS评分为8.2,可使攻击者访问敏感的病患信息和纠正信息,并修改或删除某些数据。和CVE-2024-6795一样,该漏洞也是远程可遭利用,攻击复杂度较低,且无需具有任何特殊权限。
百特已修复这两个漏洞,但CISA建议受影响组织机构同时将所有控制系统设备的网络暴露最小化并确保无法从互联网访问。CISA还希望组织机构部署防火墙并使用安全的远程访问方法如VPN等。
CISA提到截至目前,并未发现这两个漏洞遭利用的证据。但医疗技术已成为近年来网络犯罪分子的一个重大目标。单在今年,已发生多起设计大型医疗玩家的安全牛事件。其中最引人注意的是对医疗保险公司 Change Healthcare 的勒索攻击,导致该服务数天宕机。尽管最终向 BlackCat 支付2200万美元的赎金,在后者仍然在暗网上泄露了数百万美国人的敏感医疗信息。在另外一起攻击中,Rhysida 勒索组织被指导致芝加哥 Lurie Children’s 医院的系统宕机,攻陷超过79万名病患的记录。
医疗行业成为犯罪分子的首要目标有多方面的原因,如医疗组织机构通常掌握很多有价值的信息,尤其易受运营中断以及病患服务降级的影响等。
三菱 MELSEC 漏洞
CISA 提到,三菱电机的MELSEC工业自动化和控制应用可编程控制器和三菱此前发布的多个漏洞有关。其中一个安全公告和三菱在2020年披露的DoS漏洞(CVE-2020-5652)有关,当与该漏洞的相关新问题产生时,都会进行相关更新。最新安全公告将更多MELSECC产品哈如受影响技术名单,并提供了相关缓解信息。另外一个漏洞CVE-2022-33324也是一个DoS问题,不过源自资源关闭或发布不当。三菱首次在2022年12月发布该漏洞并一直保持更新。本次的最新更新是该公司在今年第三次对该漏洞的更新。
ICS和制造业其它信息技术产品中的漏洞受关注的原因有二。首先是超过75%的制造业企业环境中拥有未修复的高危漏洞:针对制造业企业的攻击在近年来激增。Armis 在今年早些时候发布报告时提到,2023年制造业企业遭受的攻击增长了165%,使其成为继公用设施以外的第二个遭受攻击最大的行业。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
CISA提醒修复RAD SecFlow-2 工业交换机中的路径遍历漏洞
原文链接
https://www.darkreading.com/ics-ot-security/cisa-flags-ics-bugs-in-baxter-mitsubishi-products
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~