研究发现,13个安全漏洞对西门子医疗设备、汽车和航空航天应用构成威胁。这13个漏洞统称为“NUCLEUS:13”,由专注于医疗设备安全的网络安全公司Forescout和Medigate发现。这些影响NucleusTCP/IP堆栈的漏洞可能允许攻击者获得远程代码执行、创建拒绝服务条件或获取数据信息。这些漏洞至少获得了中等风险评级,部分为高风险,其中最严重的是CVE-2021-31886,CVSS评分高达9.8,满分10分,属于FTP服务器组件中的严重错误,这可能允许攻击者控制目标设备。此外,还有另外两个评分为8.8的高危漏洞——CVE-2021-31887和CVE-2021-31888。Forescout在11月9日发布的一份报告中揭示了漏洞产生的原因,是由于FTP服务器对“USER”命令的长度校验不正确,溢出了基于堆栈的缓冲区,导致潜在的DoS攻击。和远程代码执行(RCE)条件。Forescout指出,目前有超过30亿台设备运行NucleusRTOS,其中超过5000台运行着该系统最易受攻击的版本,其中大部分集中在医疗保健领域。为了证明“NUCLEUS:13”漏洞的严重性,Forescout描述了两种攻击场景。一是医院的楼宇自动化系统使控制器崩溃,当有人进入病房时控制??器不会自动打开风扇和灯;停止时间,攻击可能导致火车冲出车站并与另一列火车相撞。目前,西门子已发布更新修复NucleusReadyStart3和4版本中的“NUCLEUS:13”漏洞。美国网络安全和基础设施安全局(CISA)9日也发布缓解措施:最小化所有控制系统设备或无法从互联网访问系统;将控制系统网络和远程设备定位在防火墙后,与业务网络隔离;当需要远程访问时,使用虚拟专用网络等安全方式,前提是虚拟专用网络应更新至最新版本并确保连接设备的安全;Forescout的开源ProjectMemoriaDetecto工具可帮助供应商识别受“NUCLEUS:13”漏洞影响的产品,以及公司之前TCP/IP研究中发现的问题。对于受严重影响且暂时无法修复的设备,Forescout提供以下缓解策略:限制外部通信路径,将易受攻击的设备与关注设备隔离供应商逐步发布补丁,制定相应的补救计划,业务风险和业务连续性的平衡需要警惕恶意数据产生的网络流量,这些流量试图利用已知的或零日漏洞,及时阻断异常流量。参考来源:https://www.bleepingcomputer.com/news/security/nucleus-13-tcp-security-bugs-impact-critical-healthcare-devices/
