工控系统网络应急响应小组(ICS-CERT)周二发布的 公告 显示,一个被广泛使用的用药管理系统中存在超过1400个漏洞。
安全研究者的独立之道
Pyxis SupplyStation是由美国CareFusion公司制造的一套用于医疗行业的自动化供应管理系统。这一系统被广泛运用于医疗保健行业,进行医疗用品的发放并能实时跟踪存量。
两位独立安全研究员Billy Rios和Mike Ahmadi通过一个第三方平台买到了一个“二手”的SupplyStation进行漏洞研究。在有安全保护的系统中, 他们使用了一个自动化软件构成分析工具进行静态二进制分析,挖掘硬件的漏洞 。需要强调的一点是,这些漏洞存在于8.0到9.3版本中,运行在微软2003或者XP系统的服务器上。
研究者称仅8.1.3系统上就有1418个漏洞,而那个系统自2010年起就没有进行过更新了。据ICS-CERT介绍,这些漏洞覆盖了7个第三方供应商软件包和84个不同的文件。这些过时的第三方软件组件,包括BMC Appsight、SAP Crystal Reports和微软Windows XP。
昨天,Ahmadi在博客中写道:
“第三方软件包的问题非常值得关注,这也是我们在过去几年中一直强调的。多达90%的软件采用第三方开发。”
由于CareFusion认为这些有漏洞的设备已经不再进行使用了,因此就放弃补丁,而为使用者提供缓减措施,以此降低开发风险。尽管CareFusion公司一直敦促用户将系统与互联网隔离,但是这样的方式只能治标不治本。
对待漏洞,厂商态度好转
Rios已经在系统中发现了许多漏洞,其中也包括 2014年被曝出的可以让攻击者进行远程控制的漏洞 。直到去年春天,CareFusion被收购之后,处理漏洞的态度才开始有所好转。
Rios告诉媒体:
“几年前,我报告了一些影响Carefusion产品的漏洞,却很少得到反馈。自从他们被收购之后,响应就积极多了。”
据Ahmadi介绍 ,收购CareFusion的BD公司产品安全负责人Rob Suarez并没有否认漏洞的存在。Ahmadi说这种与厂商的合作非常重要,Suarez甚至还提供了Pyxis SupplyStation所有六个系统(8.0、8.1.3、9.0、9.1、9.2、9.3)用于这次的安全研究。
情况与2014年大不相同,这份报告中提及的所有漏洞都已经被厂商、供应商确认。
Rios说:
“第一份公告中没有变种的分析,看起来像是Carefusion淡化了出现的问题。而第二份报告列出了所有受影响版本,也获得了BD的认可,这是一个极大的进步。”
本文转自d1net(转载)