医疗设备软件高危漏洞深度剖析：Smiths Medical CADD-Solis权限与中间人风险

Smiths Medical CADD-Solis药物安全软件漏洞

概述

本公告最初于2016年11月1日发布在美国CERT安全门户库，现发布于NCCIC/ICS-CERT网站。 Smiths Medical报告了其CADD-Solis药物安全软件中存在的两个漏洞，这些漏洞由纽卡斯尔泰恩河畔医院NHS基金会信托基金的Andrew Gothard发现。Smiths Medical已发布新版本以缓解这些漏洞。Smiths Medical报告称，已有独立安全专家测试了新版本，确认其解决了已识别的漏洞。这些漏洞可被远程利用。

受影响产品

以下CADD-Solis药物安全软件版本受到影响：

Smiths Medical CADD-Solis药物安全软件，版本1.0；
Smiths Medical CADD-Solis药物安全软件，版本2.0；
Smiths Medical CADD-Solis药物安全软件，版本3.0；以及
Smiths Medical CADD-Solis药物安全软件，版本3.1。

影响

成功利用这些漏洞可能允许经过身份验证的用户通过CADD-Solis药物安全软件添加用户、删除用户以及修改权限。药物库也可以在CADD-Solis药物安全软件中被修改。然而，要更新输液泵上的药物库，必须将装有CADD-Solis药物安全软件的笔记本电脑物理连接到两种不同类型的输液泵之一：CADD-Prizm系统或CADD-Solis移动输液泵。对单个组织的影响取决于每个组织特有的许多因素。ICS-CERT建议各组织根据其操作环境和具体的临床使用情况来评估这些漏洞的影响。

背景

Smiths Medical总部位于明尼苏达州普利茅斯，是英国公司Smiths Group plc的子公司。受影响产品CADD-Solis药物安全软件是一款用于设置输液泵剂量限制的应用程序。据Smiths Medical称，CADD-Solis药物安全软件可与部署在医疗和公共卫生领域的CADD-Prizm系统和CADD-Solis移动输液泵对接。Smiths Medical估计该产品在全球范围内销售。

漏洞特征描述

漏洞概述

关键资源权限分配不当 CWE-732：关键资源权限分配不当，https://cwe.mitre.org/data/definitions/732.html，最后访问于2016年12月1日。 CADD-Solis药物安全软件授予经过身份验证的用户在SQL数据库上的提升权限，这将允许经过身份验证的用户修改药物库、添加和删除用户以及更改用户权限。根据Smiths Medical的说法，需要物理访问输液泵才能安装药物库更新。 CVE-2016-8355已分配给此漏洞。CVSS v3基础评分为9.9分；CVSS向量字符串为（AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H）。CVSS计算器，https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H，最后访问于2016年12月1日。
中间人攻击 CWE-300：非端点可访问的通道（‘中间人’），https://cwe.mitre.org/data/definitions/300.html，最后访问于2016年12月1日。受影响软件不验证通信端点的身份，这可能允许远程攻击者访问端点之间的通信通道。 CVE-2016-8358已分配给此漏洞。CVSS v3基础评分为8.5分；CVSS向量字符串为（AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H）。CVSS计算器，https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H，最后访问于2016年12月1日。

漏洞详情

可利用性 这些漏洞可被远程利用。

已知漏洞利用情况 目前没有已知的公开漏洞利用专门针对这些漏洞。

攻击难度 技能水平较低的攻击者就能够利用这些漏洞。

缓解措施

Smiths Medical已发布CADD-Solis药物安全软件的新版本，以缓解已识别的漏洞。Smiths Medical CADD-Solis药物安全软件的新版本是版本3.2（在美国大陆内分发）和版本4.1（在美国大陆以外发布）。 Smiths Medical建议CADD-Solis药物安全软件用户安装适用的新版本。此外，Smiths Medical还建议用户采取以下额外安全措施：

跨系统应用严格的密码标准，包括要求使用大写字母、小写字母、特殊字符，且最小密码长度为8个字符。
建立并有效管理Active Directory。
为与CADD-Solis药物安全软件一起使用，创建一个具有管理权限的SQL Express数据库账户。
为所有服务器和医疗输液泵建立并分配受管理的服务账户。
使用虚拟局域网（VLAN）标记。
对SQL和Windows服务器实施服务器强化程序。

有关已识别漏洞的更多信息或获取CADD-Solis药物安全软件的新版本，请联系Smiths Medical技术支持：

电话：+1 (800) 258 5361 或 +01 614 210 7300；
电子邮件：info.asd@smiths-medical.com（链接发送电子邮件）。

ICS-CERT建议用户采取防御措施，以降低这些漏洞被利用的风险。具体来说，用户应该：

最小化所有医疗设备和/或系统的网络暴露，并确保它们无法从互联网访问。
将所有医疗设备和远程设备置于防火墙后，并将其与业务网络隔离。
当需要远程访问时，使用安全的方法，例如虚拟专用网络（VPN），同时认识到VPN可能存在漏洞，应更新到可用的最新版本。还要认识到VPN的安全性仅取决于所连接的设备。

ICS-CERT还在ICS-CERT网页上提供了安全推荐实践部分，网址为 http://ics-cert.us-cert.gov/content/recommended-practices。ICS-CERT提醒组织在部署防御措施之前进行适当的影响分析和风险评估。额外的缓解指导和推荐实践可在ICS-CERT技术信息论文ICS-TIP-12-146-01B《针对性网络入侵检测与缓解策略》中公开获取，该论文可从ICS-CERT网站下载（http://ics-cert.us-cert.gov/）。观察到任何可疑恶意活动的组织应遵循其既定的内部程序，并将其发现报告给ICS-CERT，以便进行跟踪并与其他事件关联分析。