医疗器械网络安全漏洞自评报告模板
Posted 谨言网络
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了医疗器械网络安全漏洞自评报告模板相关的知识,希望对你有一定的参考价值。
提示:编制医疗器械网络安全漏洞自评报告要点解析
文章目录
- 1. 目的
- 2. 引用文件
- 3. CVSS漏洞等级
- 4.漏洞扫描报告
- 5.漏洞总数和剩余漏洞数
- 5.1 概述
- 5.2 结果分析
- 5.3.1 漏洞扫描结果
- 5.3.1.1 任务概述
- 5.3.1.2 风险分布
- 1. 配置错误(CWE-16: Configuration)
- 2. 代码问题(CWE-17: Code)
- 3. 资源管理错误(CWE-399: Resource Management Errors)
- 4. 数字错误(CWE-189: Numeric Errors)
- 5. 信息泄露(CWE-200: Information Exposure)
- 6. 竞争条件(CWE-362: Race Condition)
- 7. 输入验证(CWE-20: Improper Input Validation)
- 8. 缓冲区错误(CWE-119: Buffer Errors)
- 9. 格式化字符串(CWE-134: Format String Vulnerability)
- 10. 跨站脚本(CWE-79: Cross-site Scripting)
- 11. 路径遍历(CWE-22: Path Traversal)
- 12. 后置链接(CWE-59: Link Following)
- 13. 注入(CWE-74: Injection)
- 14. 代码注入(CWE-94: Code Injection)
- 15. 命令注入(CWE-77: Command Injection)
- 16. SQL注入(CWE-89: SQL Injection)
- 17. 操作系统命令注入(CWE-78: OS Command Injection)
- 18. 安全特征问题(CWE-254: Security Features)
- 19. 授权问题(CWE-287: Improper Authentication)
- 20. 信任管理(CWE-255: Credentials Management)
- 21. 加密问题(CWE-310: Cryptographic Issues)
- 22. 未充分验证数据可靠性(CWE-345: Insufficient Verification of Data Authenticity)
- 23. 跨站请求伪造(CWE-352: Cross-Site Request Forgery)
- 24. 权限许可和访问控制(CWE-264: Permissions, Privileges, and Access Controls)
- 25. 访问控制错误(CWE-284: Improper Access Control)
- 26. 资料不足
- 5.3.1.2 漏洞信息
- 5.3.2 漏洞情况
- 6.剩余漏洞的维护方案
- 总结
1. 目的
医疗器械网络安全注册审查指导原则(2022年修订版)明确规定了漏洞评估的要求:
根据医疗器械网络安全注册审查指导原则(2022年修订版)的要求,我们建议包括CVSS漏洞等级、漏洞扫描报告、漏洞总数和剩余漏洞数、剩余漏洞的维护方案等内容。
对于轻微级别,需要提供依据CVSS的漏洞等级和漏洞数,而对于中等和严重级别,需要提供网络安全漏洞自评报告。
2. 引用文件
参考资料:
编制医疗器械网络安全漏洞自评报告要点解析
国家信息安全漏洞库
Debian安全信息
国家计算机网络入侵防范中心
360安全周报
3. CVSS漏洞等级
3.1 概述
CNNVD 漏洞编码规范
3.1.1 适用范围说明
凡是被CNNVD漏洞库收录的漏洞,均适用此编码语法规范,包括采集的公开漏洞以及收录的未公开漏洞。
3.1.2 CNNVD-ID定义
CNNVD漏洞库收录漏洞数据后,为便于识别且体现数据唯一性、规范性、兼容性,统一为每一条漏洞分配一个唯一的编号,即CNNVD-ID。
3.1.3 编码原则
1)唯一性:每条漏洞数据的编号是唯一的。
2)易识别性:易于识别数据产生的时间。
3)透明性:编码中避免暴露业务信息。
3.1.4 CNNVD-ID语法介绍
CNNVD + 年、月 + 任意数字
其中,“CNNVD”为固定编码前缀;“年”为四位;“月”为两位;“任意数字”从固定的三位开始,在有需要的时候扩展位数。举例:
3.2 指标分析
CNNVD漏洞分级规范
3.2.1 基本指标
本标准使用两组指标对漏洞进行评分,分别是可利用性指标组和影响性指标组。可利用性指标组描述漏洞利用的方式和难易程度,反映脆弱性组件的特征,应依据脆弱性组件进行评分,影响性指标组描述漏洞被成功利用后给受影响组件造成的危害,应依据受影响组件进行评分。
3.2.1.1可用性指标
可利用性指标组刻画脆弱性组件(即包含漏洞的事物)的特征,反映漏洞利用的难易程度和技术要求等。可利用性指标组包含四个指标,分别是攻击途径、攻击复杂度、权限要求和用户交互。每一个指标的取值都应当根据脆弱性组件进行判断,并且在判断某个指标的取值时不考虑其他指标。
1)攻击向量
该指标反映攻击者利用漏洞的途径,指是否可通过网络、邻接、本地和物理接触等方式进行利用。
攻击途径的赋值如下:
(1)网络:脆弱性组件是网络应用,攻击者可以通过互联网利用该漏洞。这类漏洞通常称为“可远程利用的”,攻击者可通过一个或多个网络跳跃(跨路由器)利用该漏洞。
(2)邻接:脆弱性组件是网络应用,但攻击者不能通过互联网(即不能跨路由器)利用该漏洞,只能在共享的物理(如,蓝牙、IEEE 802.11)或逻辑(如,本地IP子网)网络内利用该漏洞。
(3)本地:脆弱性组件不是网络应用,攻击者通过读/写操作或运行应用程序/工具来利用该漏洞。有时,攻击者需要本地登录,或者需要用户执行恶意文件才可利用该漏洞。当漏洞利用时需要用户去下载或接受恶意内容(或者需要本地传递恶意内容)时,攻击途径取值为“本地”。
(4)物理:攻击者必须物理接触/操作脆弱性组件才能发起攻击。物理交互可以是短暂的也可以是持续的。
例3假设攻击者以普通用户身份远程登录一台主机,然后在该主机上打开包含恶意内容的PDF文件,使得攻击者获得管理员权限。对于这种情况,攻击途径的取值是“本地”。这里不需要考虑这个恶意文件的获取方式,即使是攻击者通过网络下载到这台机器上的,攻击途径也是“本地”。
2)攻击复杂性
该指标反映攻击者利用该漏洞实施攻击的复杂程度,描述攻击者利用漏洞时是否必须存在一些超出攻击者控制能力的软件、硬件或网络条件,如软件竞争条件、应用配置等。对于必须存在特定条件才能利用的漏洞,攻击者可能需要收集关于目标的更多信息。在评估该指标时,不考虑用户交互的任何要求。
攻击复杂度的赋值如下:
(1)低:不存在专门的访问条件,攻击者可以期望重复利用漏洞。
(2)高:漏洞的成功利用依赖于某些攻击者不能控制的条件。即,攻击者不能任意发动攻击,在预期成功发动攻击前,攻击者需要对脆弱性组件投入一定数量的准备工作。包括如下一些情况:
攻击者必须对目标执行有针对性的调查。例如,目标配置的设置、序列数、共享秘密等。
攻击者必须准备目标环境以提高漏洞利用的可靠性。例如,重复利用以赢得竞争条件,或克服高级漏洞利用缓解技术。
攻击者必须将自己注入到攻击目标和受害者所请求的资源之间的逻辑网络路径中,以便读取和/或修改网络通信(如,中间人攻击)。
在攻击复杂度取值为“高”的描述中,对攻击者在成功发动攻击前所做的准备工作没有进行定量的描述,只要攻击者必须进行一些额外的努力才能利用这个漏洞,攻击复杂度就是“高”,如漏洞利用时需要配置其他的特殊状态,需要监视或者改变受攻击实体的运行状态等。如果漏洞利用时所需要的条件要求不高,例如只需构造一些简单的数据包,则攻击复杂度为“低”。
3)所需权限
该指标反映攻击者成功利用漏洞需要具备的权限层级,即利用漏洞时是否需要拥有对该组件操作的权限(如管理员权限、guest权限)。
权限要求的赋值如下:
(1)无:攻击者在发动攻击前不需要授权,执行攻击时不需要访问任何设置或文件。
(2)低:攻击者需要取得普通用户权限,该类权限对脆弱性组件有一定的控制能力,具有部分(非全部)功能的使用或管理权限,通常需要口令等方式进行身份认证,例如,操作系统的普通用户权限、Web等应用的注册用户权限。
(3)高:攻击者需要取得对脆弱性组件的完全控制权限。通常,该类权限对于脆弱性组件具有绝对的控制能力,例如,操作系统的管理员权限,Web等应用的后台管理权限。
例4 正常情况下,具有普通用户权限只能对该用户拥有的设置和文件进行操作。假设具有普通用户权限的攻击者通过利用漏洞获得权限提升,能够在目标系统上执行任意命令。对于这种情况,权限要求为“低”,至于权限提升后造成的危害,会在影响性指标组中体现。
表 1给出了不同操作系统中权限要求的评分参考。
注:本地登录的用户和远程登录的用户都可参照上述表格。
4)用户交互
该指标反映成功利用漏洞是否需要用户(而不是攻击者)的参与,该指标识别攻击者是否可以根据其意愿单独利用漏洞,或者要求其他用户以某种方式参与。
用户交互的赋值如下:
(1)不需要:无需任何用户交互即可利用漏洞。
(2)需要:漏洞的成功利用需要其他用户在漏洞被利用之前执行一些操作(打开某个文件、点击某个链接、访问特定的网页等)。
例5 假设某个漏洞只能在系统管理员安装应用程序期间才可能被利用。对于这种情况,用户交互是“需要”。
3.2.1.2 范围
一、适用范围说明
本标准规定了信息安全漏洞危害程度的评价指标和等级划分方法。凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分级规范,包括采集的公开漏洞以及收录的未公开漏洞,通用型漏洞及事件型漏洞。
二、术语和定义
(一)漏洞(vulnerability)
漏洞是计算机信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷。这些缺陷以不同的形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。
(二)脆弱性组件(vulnerable component)
脆弱性组件指包含漏洞的组件,通常是软件应用、软件模块、驱动、甚至硬件设备等。攻击者通过利用脆弱性组件中的漏洞来发动攻击。
(三)受影响组件(impacted component)
受影响组件指漏洞被成功利用后遭受危害的组件,如软件应用、硬件设备、网络资源等。受影响组件可以是脆弱性组件本身,可以是其他软件、硬件或网络组件。
(四)影响范围(impacted scope)
影响范围指漏洞被成功利用后遭受危害的资源的范围。若受漏洞影响的资源超出了脆弱性组件的范围,则受影响组件和脆弱性组件不同;若受漏洞影响的资源局限于脆弱性组件内部,则受影响组件和脆弱性组件相同。
若受影响组件和脆弱性组件不同,则影响范围发生变化;否则,影响范围不变。本标准不仅可以度量脆弱性组件和受影响组件相同的漏洞,而且还可以度量脆弱性组件和受影响组件不同的漏洞。
例1 假设某即时聊天工具中存在一个漏洞,攻击者利用该漏洞可造成主机系统中的部分信息(如用户的Word文档、管理员密码、系统配置)泄露。这个例子中,脆弱性组件是即时聊天工具,受影响组件是主机系统,脆弱性组件和受影响组件不同,漏洞的影响范围发生变化。
例2 假设某数据库管理系统中存在一个漏洞,攻击者利用该漏洞可窃取数据库中的全部数据。这个例子中,脆弱性组件是数据库管理系统,受影响组件还是数据库管理系统,脆弱性组件和受影响组件为相同组件,漏洞的影响范围不变。
3.2.1.3 影响指标
影响性指标组反映漏洞成功利用后所带来的危害。漏洞的成功利用可能危害一个或多个组件,影响性指标组的分值应当根据遭受最大危害的组件进行评定。
影响性指标组包括三个指标,分别是机密性影响、完整性影响和可用性影响。
1)保密性
这个指标度量漏洞的成功利用对信息资源的机密性的影响。机密性指只有授权用户才能访问受保护的信息资源,限制向未授权用户披露受保护信息。机密性影响是指对受影响服务所使用的数据的影响,例如,系统文件丢失、信息暴露等。
机密性影响的赋值如下:
(1)高:机密性完全丢失,导致受影响组件的所有资源暴露给攻击者。或者,攻击者只能得到一些受限信息,但是,暴露的信息可以导致一个直接的、严重的信息丢失。例如,攻击者获得了管理员密码、Web服务器的私有加密密钥等。
(2)低:机密性部分丢失。攻击者可以获取一些受限信息,但是攻击者不能控制获得信息的数量和种类。披露的信息不会引起受影响组件直接的、严重的信息丢失。
(3)无:受影响组件的机密性没有丢失,攻击者不能获得任何机密信息。
机密性影响为“高”表示攻击者能够获得受影响组件的全部信息,或者攻击者能够获得他想要的任何信息。或者,利用得到的部分信息能够进一步获得他想要的任何信息。
机密性影响为“低”表示攻击者只能获得部分受限信息,不能任意获取信息。利用得到的部分信息也不能进一步获得任意信息。
2)完整性
这个指标度量漏洞的成功利用给完整性造成的影响。完整性指信息的可信性与真实性,如果攻击者能够修改被攻击对象中的文件,则完整性受到影响。完整性是指对受影响服务所使用的数据的影响。例如,Web内容被恶意修改,攻击者可以修改/替换文件等。
完整性影响的赋值如下:
(1)高:完整性完全丢失,或者完全丧失保护。例如,攻击者能够修改受影响组件中的任何文件。或者,攻击者只能修改一些文件,但是,恶意的修改能够给受影响组件带来直接的、严重的后果。
(2)低:攻击者可以修改数据,但是不能控制修改数据造成的后果,或者修改的数量是有限的。数据修改不会给受影响组件带来直接的、严重的影响。
(3)无:受影响组件的完整性没有丢失,攻击者不能修改受影响组件中的任何信息。
完整性影响为“高”表示攻击者能够修改/替换受影响组件中的任何文件,或者攻击者能够修改/替换他想修改的任何信息。或者,攻击者能够修改/替换一些关键信息,如管理员密码。
完整性影响为“低”表示攻击者只能修改/替换部分文件,不能任意修改/替换文件,也不能修改/替换关键文件。
3)可用性
这个指标度量漏洞的成功利用给受影响组件的性能带来的影响。机密性影响和完整性影响反映漏洞的成功利用对受影响组件数据的影响。例如,网络内容被恶意修改(完整性受影响),或系统文件被窃(机密性受影响)。可用性影响反映漏洞的成功利用对受影响组件操作的影响。
可用性影响的赋值如下:
(1)高:可用性完全丧失,攻击者能够完全拒绝对受影响组件中资源的访问。或者,攻击者可以拒绝部分可用性,但是能够给受影响组件带来直接的、严重的后果。例如,尽管攻击者不能中断已存在的连接,但是能够阻止新的链接;攻击者能够重复利用一个漏洞,虽然每个利用只能泄露少量的内存,但是重复利用可以使一个服务变得不可用。
(2)低:攻击者能够降低资源的性能或者中断其可用性。即使能够重复利用这个漏洞,但是攻击者也不能完全拒绝合法用户的访问。受影响组件的资源是部分可用的,或在一些时候是完全可用的,但总体上不会给受影响组件带来直接的,严重的后果。
(3)无:受影响组件的可用性不受影响,攻击者不能降低受影响组件的性能。
例6 在一个互联网服务如网页、电子邮件或DNS中的漏洞,该漏洞允许攻击者修改或删除目录中的所有文件。该漏洞的成功利用会导致完整性受影响,而可用性不会受到影响。这是因为网络服务仍然能正常执行,只是其内容被改变了。
可用性影响表示对服务自身性能和操作的影响,不是数据的影响。由于可用性是指信息资源的可访问性,因此消耗网络带宽、处理器周期或磁盘空间的攻击都会影响受影响组件的可用性。
可用性影响为“高”表示受影响的组件完全不能响应,完全不能正常工作、不能操作、不能提供服务。或者攻击者可以阻止新的访问,通过重复利用漏洞消耗受影响组件的资源使其不能进行正常的服务。
可用性影响为“低”表示受影响的组件的性能降低,部分服务受到影响,但不会造成完全不能工作。
3.2.2 时间度量
1)漏洞利用代码成熟度
可利用的代码或技术的状态。
2)修复级别
补救水平
3)报告可信度
目前所公布的缺陷以及已知技术细节的可信程度。
3.2.3 环境指标
CNNVD漏洞影响实体描述规范
3.2.3.1 安全要求
一、定义
漏洞影响实体是描述安全漏洞信息时不可或缺的一个属性项,可以分为硬件、操作系统及应用程序等不同类型(部件)。根据漏洞影响实体组成类型不同及漏洞影响产品类型不同,用基本描述结构体和逻辑连接组合来对其进行描述。
二、描述原则
1) 通用性:能够描述所有的信息系统。
2) 一致性:相同组成部分的描述名称必须一致。
3) 概括性:能够概括具有某特点的一类信息系统。
4) 结构化:拥有清晰、分块、可读性高的描述格式。
5) 简易性:简化描述的名称和描述结构体。
三、适用范围
凡是被CNNVD漏洞库收录的漏洞,均适用此编码语法规范,包括采集的公开漏洞以及收录的未公开漏洞。
3.2.3.3 修改的基本指标
基本描述结构
基本描述结构是描述漏洞影响实体的命名方法,它由部件、生产厂商、产品名称、产品版本、更新版本、适用版本、界面语言等属性项组成,根据漏洞影响实体界面语言、主要应用国别等确定采用中文或英文进行描述,描述规则如下:
CNCPE:/部件:生产厂商:产品名称:产品版本:更新版本:适用版本:界面语言
CNCPE:/{part}:{vendor}:{product}:{version}:{update}:{edition}:{language}
该命名规则对于其中出现的英文名称大小写不敏感。各命名元素之间以英文冒号“:”作为分隔符,无空格。若对应项没有相关信息,允许空项,直接进入下一个分隔符;若对应项不适用于该产品,则该项填“-”。下面分别对各项进行说明。
1)部件
部件分为三类:硬件(Hardware)、操作系统(Operating system)和应用(Application)。
1、中文表达形式为:硬件、操作系统、应用。例如:
CNCPE:/应用:北京智通:网际快车:3.5:::中文-台湾
2、英文表达形式为:h、o、a。例如:
CNCPE:/a:acme:product:1.0:update2:-:en-us
2)生产厂商
生产厂商名称通常采用生产厂商的注册域名进行命名。
1、英文名称采用生产厂商所在最高组织的域名。
2、中文名称如果有中文域名,优先采用中文域名;如果只有英文域名,采用对应英文域名的中文翻译(如有)。
3、对于分享同一域名、不同后缀的生产厂商,采用域名的全称。
4、对于无特定域名的中国生产厂商,命名采用营业执照上的机构名称,省略公司性质字段。
5、对于无生产厂商的产品,生产厂商项采用开发者全名。英文单字间空格改为“_”,中文开发者采用其中文全名。
6、生产厂商名称随着厂家自身更名而更新。
生产厂商名称(附录A.2)。
3)产品名称
产品名称依据生产厂商对产品的正式命名。
1、中英文产品名称通常保留全名,英文全名各个单词间用“_”相连。
2、对于具有官方惯用缩写且缩写不会引起名称混淆的产品名称,可以适当用英文缩写命名。
3、产品名称同产品全名的更新保持一致。
产品最通用或可识别的名称(附录A.3)。
4)产品版本
使用厂商指定的版本号(附录A.4),此处不应缩减或修改。但可以使用“*”“?”等通配符辅助描述版本号。
5)更新版本
更新版本反映同一产品版本下的更新情况或服务包信息,其表达往往因生产厂商和产品不同而不同,对此,一律按照生产厂家所规定的或产品自带的更新信息来表示。
使用厂商指定的更新号或名称(附录A.5)。
6)适用版本
适用版本反映产品适用的对象或平台(附录A.6)。其中,缩写规则参考(附录A.8)。
7)界面语言
界面语言按照IETF RFC 4646 Tags for Identifying Languages中定义的语言标签来表示。(附录A.7)。
逻辑连接符号
出于漏洞影响实体组成的复杂性,及漏洞影响的产品和版本多样性,上面的基本描述结构不能满足部分漏洞所影响的产品。用“AND”(同时满足)、“OR”(满足任一)、“NOT”(不满足)三个逻辑连接符号连接不同的基本结构。
3.3 CVSS等级结果
漏洞的危害可采用评分或分级的方式进行评价,漏洞的评分由可利用性指标组的评分和影响性指标组的评分两部分共同组成,漏洞的危害等级可根据其评分进行划分。
漏洞的分值在0到10之间,漏洞的评分规则如下:
(1)如果 可利用性评分 + 影响性评分 > 10,漏洞评分 = 10
(2)漏洞评分 = 可利用性评分 + 影响性评分
(3)漏洞分值保留到小数点后1位,如果小数点后第二位的数字大于0,则小数点后第一位数字加1。
CNNVD将漏洞的危害级别划分为四个等级,从高至低依次分为超危、高危、中危和低危,具体划分方式见表 4。
4.漏洞扫描报告
- CNNVD-201304-152
漏洞名称:phpMyAdmin ‘tbl_gis_visualization.php’多个跨站脚本漏洞
漏洞简介:
phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的mysql数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。
phpMyAdmin 3.5.0至3.5.7版本中的tbl_gis_visualization.php中存在多个跨站脚本漏洞,该漏洞源于程序没有充分验证用户提供的输入。当用户浏览受影响的网站时,其浏览器将执行攻击者的任意脚本代码。这可能导致攻击者窃取基于cookie的身份认证并发起其它攻击。
5.漏洞总数和剩余漏洞数
5.1 概述
一、描述定义
漏洞内容描述是指通过文字描述的方式把该漏洞产生的原因、存在的位置、受影响范围、漏洞宿主介绍等按照统一的格式进行描述。
二、描述原则
1)简明易懂性:简明、清晰、易懂的对漏洞进行描述。
2)真实性:真实、客观的对该漏洞进行描述。
3)透明性:避免暴露过多的漏洞技术细节。
三、适用范围
凡是被CNNVD漏洞库收录的漏洞,均适用此编码语法规范,包括采集的公开漏洞以及收录的未公开漏洞。
5.2 结果分析
5.3.1 漏洞扫描结果
5.3.1.1 任务概述
CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
图中给出了漏洞类型的层次关系。该分类模型包含多个抽象级别,高级别漏洞类型可以包含多个子级别,低级别的漏洞类型提供较细粒度的分类。
5.3.1.2 风险分布
漏洞类型描述
1. 配置错误(CWE-16: Configuration)
1.1 描述
此类漏洞指软件配置过程中产生的漏洞。该类漏洞并非软件开发过程中造成的,不存在于软件的代码之中,是由于软件使用过程中的不合理配置造成的。
1.2 漏洞实例
(1)CNNVD-201606-433
漏洞名称:SolarWinds Virtualization Manager 安全漏洞
漏洞简介:
Solarwinds Virtualization Manager是美国SolarWinds公司的一套用于对虚拟化产品进行管理和监控的软件。该软件提供容量管理、性能监控和配置管理等功能。
SolarWinds Virtualization Manager 6.3.1及之前版本中存在安全漏洞。本地攻击者可借助sudo的错误配置利用该漏洞获取权限。
(2)CNNVD-201602-395
漏洞名称:Digium Asterisk Open Source和Certified Asterisk 拒绝服务漏洞
漏洞简介:
Digium Asterisk Open Source和Certified Asterisk都是美国Digium公司的开源电话交换机(PBX)系统软件。该软件支持语音信箱、多方语音会议、交互式语音应答(IVR)等。
Digium Asterisk Open Source和Certified Asterisk的chan_sip中存在安全漏洞。当timert1 sip.conf配置为大于1245的值时,远程攻击者可利用该漏洞造成拒绝服务(文件描述符消耗)。以下产品及版本受到影响:Digium Asterisk Open Source 1.8.x版本,11.21.1之前11.x版本,12.x版本,13.7.1之前13.x版本,Certified Asterisk 1.8.28版本,11.6-cert12之前11.6版本,13.1-cert3之前13.1版本。
(3)CNNVD-201410-618
漏洞名称:Apple OS X 配置错误漏洞
漏洞简介:
Apple OS X是美国苹果(Apple)公司为Mac计算机所开发的一套专用操作系统。
Apple OS X 10.10之前版本的MCX Desktop Config Profiles实现中存在安全漏洞,该漏洞源于程序保留已卸载mobile-configuration配置文件中的web-proxy设置。远程攻击者可通过访问代理服务器利用该漏洞获取敏感信息。
2. 代码问题(CWE-17: Code)
2.1 描述
此类漏洞指代码开发过程中产生的漏洞,包括软件的规范说明、设计和实现。该漏洞是一个高级别漏洞,如果有足够的信息可进一步分为更低级别的漏洞。
2.2 与其他漏洞类型关系
下级漏洞类型:资源管理错误(CWE-399)、输入验证(CWE-20)、数字错误(CWE-189)、信息泄露(CWE-200)、安全特征问题(CWE-254)、竞争条件(CWE-362)
2.3 漏洞实例
(1)CNNVD-201501-351
漏洞名称:Django 拒绝服务漏洞
漏洞简介:
Django是Django软件基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
Django 1.6.10之前1.6.x版本和1.7.3之前1.7.x版本的ModelMultipleChoiceField中存在安全漏洞。当程序将show_hidden_initial设置为‘true’时,远程攻击者可通过提交重复的值利用该漏洞造成拒绝服务。
(2)CNNVD-201504-006
漏洞名称:Mozilla Firefox Off Main Thread Compositing 代码注入漏洞
漏洞简介:
Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。
Mozilla Firefox 36.0.4及之前版本的Off Main Thread Compositing(OMTC)实现过程中存在安全漏洞,该漏洞源于程序与‘mozilla::layers::BufferTextureClient::AllocateForSurface’函数交互时,执行不正确的memset调用。远程攻击者可通过触发2D图形内容的渲染利用该漏洞执行任意代码,或造成拒绝服务(内存损坏和应用程序崩溃)。
分类关键因素:该漏洞源于程序与‘mozilla::layers::BufferTextureClient::AllocateForSurface’函数交互时,执行不正确的memset调用。
(3)CNNVD-201505-589
漏洞名称:Network Block Device 拒绝服务漏洞
漏洞简介:
Network Block Device(NBD,网络磁盘设备)是一套开源的网络存储软件。该软件能够创建基于Linux平台的网络存储系统。
NBD 3.11之前版本的nbd-server.c文件中存在安全漏洞,该漏洞源于程序没有正确处理信号。远程攻击者可利用该漏洞造成拒绝服务(死锁)。
3. 资源管理错误(CWE-399: Resource Management Errors)
3.1 描述
此类漏洞与系统资源的管理不当有关。该类漏洞是由于软件执行过程中对系统资源(如内存、磁盘空间、文件等)的错误管理造成的。
3.2 与其他漏洞类型关系
上级漏洞类型:代码(CWE-17)
3.3 漏洞实例
(1)CNNVD-201512-512
漏洞名称:Xen libxl toolstack库资源管理错误漏洞
漏洞简介:
Xen是英国剑桥大学开发的一款开源的虚拟机监视器产品。该产品能够使不同和不兼容的操作系统运行在同一台计算机上,并支持在运行时进行迁移,保证正常运行并且避免宕机。
Xen 4.1.x版本至4.6.x版本的libxl toolstack库中存在安全漏洞,该漏洞源于程序管理同一个进程中的多个域时没有正确释放做为内核和初始虚拟磁盘的文件映射。攻击者可通过启动域利用该漏洞造成拒绝服务(内存和磁盘资源消耗)。
(2)CNNVD-201505-312
漏洞名称:PHP 资源管理错误漏洞
漏洞简介:
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。
PHP的ext/phar/phar.c文件中的‘phar_parse_metadata’函数存在安全漏洞。远程攻击者可借助特制的tar归档利用该漏洞造成拒绝服务(堆元数据损坏)。以下版本受到影响:PHP 5.4.40之前版本,5.5.24之前5.5.x版本,5.6.8之前5.6.x版本。
(3)CNNVD-201502-440
漏洞名称:Mozilla Firefox WebGL 资源管理错误漏洞
漏洞简介:
Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。
Mozilla Firefox 35.0.1及之前版本的WebGL实现过程中存在安全漏洞,该漏洞源于程序向shader的编译日志中复制字符串时,没有正确分配内存。远程攻击者可借助特制的WebGL内容利用该漏洞造成拒绝服务(应用程序崩溃)。
4. 数字错误(CWE-189: Numeric Errors)
4.1 描述
此类漏洞与不正确的数字计算或转换有关。该类漏洞主要由数字的不正确处理造成的,如整数溢出、符号错误、被零除等。
4.2 与其他漏洞类型关系
上级漏洞类型:代码问题(CWE-17)
4.3 漏洞实例
(1)CNNVD-201511-069
漏洞名称:Google Picasa 数字错误漏洞
漏洞简介:
Google Picasa是美国谷歌(Google)公司的一套免费的图片管理工具。该工具可协助用户在计算机上查找、修改和共享图片。
Google Picasa 3.9.140 Build 239版本和Build 248版本中存在整数溢出漏洞。远程攻击者可借助与‘phase one 0x412’标签相关的数据利用该漏洞执行任意代码。
(2)CNNVD-201509-592
漏洞名称:android libstagefright 数字错误漏洞
漏洞简介:
Google Chrome是美国谷歌(Google)公司开发的一款Web浏览器。Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。libstagefright是其中的一个硬解码支持库。
Android 4.4.4及之前版本的libstagefright中的SampleTable.cpp文件中存在整数溢出漏洞。攻击者可利用该漏洞造成拒绝服务(崩溃)。
(3)CNNVD-201503-502
漏洞名称:tcpdump‘mobility_opt_print’函数数字错误漏洞
漏洞简介:
tcpdump是Tcpdump团队开发的一套运行在命令行下的嗅探工具。该工具允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包。
tcpdump 4.7.2之前版本的IPv6 mobility打印机(IPv6 mobility printer)中的‘mobility_opt_print’函数存在整数符号错误漏洞。远程攻击者可借助负的‘length’值利用该漏洞造成拒绝服务(越边界读取和崩溃),或执行任意代码。
5. 信息泄露(CWE-200: Information Exposure)
5.1 描述
信息泄露是指有意或无意地向没有访问该信息权限者泄露信息。此类漏洞是由于软件中的一些不正确的设置造成的信息泄漏。信息指(1)产品自身功能的敏感信息,如私有消息(2)或者有关产品或其环境的信息,这些信息可能在攻击中很有用,但是攻击者通常不能获取这些信息。信息泄露涉及多种不同类型的问题,并且严重程度依赖于泄露信息的类型。
5.2 常见后果
技术影响:Read application data
影响范围:机密性
5.3 与其他漏洞类型关系
上级漏洞类型:代码问题(CWE-17)
5.4 漏洞实例
(1)CNNVD-200412-094
漏洞名称:Linux Kernel USB驱动程序未初始化结构信息披露漏洞
漏洞简介:
Linux 2.4内核的Certain USB驱动程序使用未初始化结构中的copy_to_user功能,本地用户利用该漏洞通过读取内存获取敏感信息,该内存在以前使用后不曾被删除。
(2)CNNVD-200412-028
漏洞名称:Qbik WinGate信息披露漏洞
漏洞简介:
WinGate 5.2.3 build 901和6.0beta 2 build 942及如:5.0.5的其他版本存在漏洞。远程攻击者借助wingate-内部目录的URL请求读取根目录的任意文件。
(3)CNNVD-200412-415
漏洞名称:Microsoft Outlook Express BCC字段信息披露漏洞
漏洞简介:
Outlook Express 6.0版本在使用"Break apart messages larger than"设定发送分段邮件信息时,将消息的BBC收件人泄露到To及CC字段中地址,远程攻击者可能获得敏感信息。
6. 竞争条件(CWE-362: Race Condition)
6.1 描述
程序中包含可以与其他代码并发运行的代码序列,且该代码序列需要临时地、互斥地访问共享资源。但是存在一个时间窗口,在这个时间窗口内另一段代码序列可以并发修改共享资源。
如果预期的同步活动位于安全关键代码,则可能带来安全隐患。安全关键代码包括记录用户是否被认证,修改重要状态信息等。竞争条件发生在并发环境中,根据上下文,代码序列可以以函数调用,少量指令,一系列程序调用等形式出现。
6.2 常见后果
技术影响:DoS: resource consumption (CPU); DoS: resource consumption (memory); DoS: resource consumption (other); DoS: crash / exit / restart; DoS: instability; Read files or directories; Read application data
影响范围:机密性、完整性和可用性
6.3 与其他漏洞类型关系
上级漏洞类型:代码问题(CWE-17)
6.4 漏洞实例
(1)CNNVD-201505-221
漏洞名称:Mozilla Firefox‘nsThreadManager::RegisterCurrentThread’函数竞争条件漏洞
漏洞简介:
Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。
Mozilla Firefox 37.0.2及之前版本的‘nsThreadManager::RegisterCurrentThread’函数中存在竞争条件漏洞,该漏洞源于程序执行关闭操作时,没有正确创建Media Decoder线程。远程攻击者可利用该漏洞执行任意代码,或造成拒绝服务(释放后重用和堆内存损坏)。
(2)CNNVD-201504-562
漏洞名称:IBM WebSphere Application Server Liberty Profile 竞争条件漏洞
漏洞简介:
IBM WebSphere Application Server(WAS)是美国IBM公司开发并发行的一款应用服务器产品,它是Java EE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。Liberty Profile是WAS的一个动态服务器配置文件。
IBM WAS Liberty Profile 8.5版本中存在竞争条件漏洞。远程攻击者可利用该漏洞获取提升的权限。
(3)CNNVD-201502-268
漏洞名称:Cisco ios MACE 安全漏洞
漏洞简介:
Cisco IOS是美国思科(Cisco)公司为其网络设备开发的操作系统。Measurement, Aggregation, and Correlation Engine(MACE)是其中的一个用于测量和分析网络报文的功能。
Cisco IOS 15.4(2)T3及之前版本的MACE实现过程中存在竞争条件漏洞。远程攻击者可借助特制的网络流量利用该漏洞造成拒绝服务(设备重载)。
7. 输入验证(CWE-20: Improper Input Validation)
7.1 描述
产品没有验证或者错误地验证可以影响程序的控制流或数据流的输入。如果有足够的信息,此类漏洞可进一步分为更低级别的类型。
当软件不能正确地验证输入时,攻击者能够伪造非应用程序所期望的输入。这将导致系统接收部分非正常输入,攻击者可能利用该漏洞修改控制流、控制任意资源和执行任意代码。
7.2 常见后果
技术影响:DoS: crash / exit / restart; DoS: resource consumption (CPU); DoS: resource consumption (memory);Read memory; Read files or directories;Modify memory; Execute unauthorized code or commands
影响范围:机密性、完整性和可用性
7.3 与其他漏洞类型关系
上级漏洞类型:代码问题(CWE-17)
下级漏洞类型:缓冲区错误(CWE-119)、注入(CWE-74)、路径遍历(CWE-22)、后置链接(CWE-59)
7.4 漏洞实例
(1)CNNVD-201607-976
漏洞名称:Cisco Unified Computing System Performance Manager 输入验证漏洞
漏洞简介:
Cisco Unified Computing System(UCS)Performance Manager是美国思科(Cisco)公司的一套UCS组件性能监控软件。
Cisco UCS Performance Manager 2.0.0及之前的版本Web框架中存在输入验证漏洞。远程攻击者可通过发送特制的HTTP GET请求利用该漏洞执行任意命令。
(2)CNNVD-201606-360
漏洞名称:Adobe Brackets 输入验证漏洞
漏洞简介:
Adobe Brackets是美国奥多比(Adobe)公司的一套开源的基于html/CSS/javascript开发并运行于native shell上的集成开发环境。
基于Windows、Macintosh和Linux平台的Adobe Brackets 1.6及之前版本的扩展管理器中存在输入验证漏洞。攻击者可利用该漏洞造成未知影响。
(3)CNNVD-201512-474
漏洞名称:Mozilla Firefox 输入验证漏洞
漏洞简介:
Mozilla Firefox是美国Mozilla基金会开发的一款开源Web浏览器。
Mozilla Firefox 42.0及之前版本中存在安全漏洞,该漏洞源于程序没有正确处理data: URI中的‘#’字符。远程攻击者可利用该漏洞伪造Web站点。
8. 缓冲区错误(CWE-119: Buffer Errors)
8.1 描述
软件在内存缓冲区上执行操作,但是它可以读取或写入缓冲区的预定边界以外的内存位置。
某些语言允许直接访问内存地址,但是不能自动确认这些内存地址是有效的内存缓冲区。这可能导致在与其他变量、数据结构或内部程序数据相关联的内存位置上执行读/写操作。作为结果,攻击者可能执行任意代码、修改预定的控制流、读取敏感信息或导致系统崩溃。
8.2 常见后果
技术影响:Execute unauthorized code or commands; Modify memory;Read memory; DoS: crash / exit / restart; DoS: resource consumption (CPU); DoS: resource consumption (memory)
影响范围:机密性、完整性和可用性
8.3 与其他漏洞类型关系
上级漏洞类型:输入验证(CWE-20)
8.4 漏洞实例
(1)CNNVD-201608-309
漏洞名称:Cracklib 基于栈的缓冲区溢出漏洞
漏洞简介:
Linux-PAM(又名PAM)是一种用于Linux平台中的认证机制,它通过提供一些动态链接库和一套统一的API,使系统管理员可以自由选择应用程序使用的验证机制。Cracklib是其中的一个用于检查密码是否违反密码字典的模块。
Cracklib中的lib/fascist.c文件中的‘FascistGecosUser’函数存在基于堆的缓冲区溢出漏洞。本地攻击者可借助长的GECOS字段利用该漏洞造成拒绝服务(应用程序崩溃),或获取权限。
(2)CNNVD-201608-446
漏洞名称:Fortinet FortiOS和FortiSwitch 缓冲区溢出漏洞
漏洞简介:
Fortinet FortiOS和FortiSwitch都是美国飞塔(Fortinet)公司开发的产品。前者是一套专用于FortiGate网络安全平台上的安全操作系统,后者是一套专门用于以太网基础架构和现行网络边缘配置的安全交换平台。
Fortinet FortiOS和FortiSwitch中的Cookie解析器存在缓冲区溢出漏洞。远程攻击者可通过发送特制的HTTP请求利用该漏洞执行任意代码。以下版本受到影响:Fortinet FortiOS 4.1.11之前的4.x版本,4.2.13之前的4.2.x版本,4.3.9之前的4.3.x版本,FortiSwitch 3.4.3之前的版本。
(3)CNNVD-201606-184
漏洞名称:Red Hat SPICE 基于堆的缓冲区溢出漏洞
漏洞简介:
Red Hat SPICE是美国红帽(Red Hat)公司的一个企业虚拟化桌面版所使用的自适应远程呈现开源协议,它主要用于将用户与其虚拟桌面进行连接,能够提供与物理桌面完全相同的最终用户体验。
Red Hat SPICE的smartcard交互中存在基于堆的缓冲区溢出漏洞。攻击者可利用该漏洞造成拒绝服务(QEMU进程崩溃),或执行任意代码。
9. 格式化字符串(CWE-134: Format String Vulnerability)
9.1 描述
软件使用的函数接收来自外部源代码提供的格式化字符串作为函数的参数。
当攻击者能修改外部控制的格式化字符串时,这可能导致缓冲区溢出、拒绝服务攻击或者数据表示问题。
9.2 常见后果
技术影响:Read memory; Execute unauthorized code or commands
影响范围:机密性、完整性和可用性
9.3 与其他漏洞类型关系
上级漏洞类型:注入(CWE-74)
9.4 漏洞实例
(1)CNNVD-201512-593
漏洞名称:PHP 格式化字符串漏洞
漏洞简介:
PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。
PHP 7.0.1之前7.x版本的Zend/zend_execute_API.c文件中的‘zend_throw_or_error’函数中存在格式化字符串漏洞。远程攻击者可借助不存在的类名中的格式字符串说明符利用该漏洞执行任意代码。
(2)CNNVD-201504-380
漏洞名称:Six Apart Movable Type 格式化字符串漏洞
漏洞简介:
Six Apart Movable Type(MT)是美国Six Apart公司的一套博客(blog)系统。Pro、Open Source和Advanced分别是该系统的专业版、开源版和高级版。
Six Apart MT中存在格式化字符串漏洞。远程攻击者可利用该漏洞执行任意代码。以下版本受到影响:Six Apart MT Pro 6.0.x版本和5.2.x版本,Open Source 5.2.x版本,Advanced 6.0.x版本和5.2.x版本。
(3)CNNVD-201404-001
漏洞名称:War FTP Daemon 格式化字符串漏洞
漏洞简介:
War FTP Daemon(warftpd)是一款用于Windows平台中的免费FTP服务器,它支持多重连接、用户权限设置和磁盘配额限制等。
warftpd 1.82 RC 12版本中存在格式化字符串漏洞。远程授权的攻击者可借助LIST命令中的格式字符串说明符利用该漏洞造成拒绝服务(崩溃)。
10. 跨站脚本(CWE-79: Cross-site Scripting)
10.1 描述
在用户控制的输入放置到输出位置之前软件没有对其中止或没有正确中止,这些输出用作向其他用户提供服务的网页。
跨站脚本漏洞通常发生在(1)不可信数据进入网络应用程序,通常通过网页请求;(2)网络应用程序动态地生成一个带有不可信数据的网页;(3)在网页生成期间,应用程序不能阻止Web浏览器可执行的内容数据,例如JavaScript,HTML标签,HTML属性、鼠标事件、Flash、ActiveX等;(4)受害者通过浏览器访问的网页包含带有不可信数据的恶意脚本;(5)由于脚本来自于通过web服务器发送的网页,因此受害者的web浏览器会在web服务器域的上下文中执行恶意脚本;(6)违反web浏览器的同源策略,同源策略是一个域中的脚本不能访问或运行其他域中的资源或代码。
10.2 常见后果
技术影响:Bypass protection mechanism; Read application data;Execute unauthorized code or commands
影响范围:机密性、完整性和可用性
10.3 与其他漏洞类型关系
上级漏洞类型:注入(CWE-74)
10.4 漏洞实例
(1)CNNVD-201611-004
漏洞名称:Cisco Prime Collaboration Provisioning 跨站脚本漏洞
漏洞简介:
Cisco Prime Collaboration Provisioning是美国思科(Cisco)公司的一套基于Web的下一代通信服务解决方案。该方案对IP电话、语音邮件和统一通信环境提供IP通信服务功能。
Cisco Prime Collaboration Provisioning的Web框架代码存在跨站脚本漏洞。远程攻击者可利用该漏洞在受影响网站上下文中注入任意脚本代码,访问敏感的browser-based信息。
(2)CNNVD-201609-096
漏洞名称:Fortinet FortiWAN 跨站脚本漏洞
漏洞简介:
Fortinet FortiWAN是美国飞塔(Fortinet)公司开发的一款广域网链路负载均衡产品。
Fortinet FortiWAN 4.2.4及之前的版本中存在跨站脚本漏洞。远程攻击者可通过向script/statistics/getconn.php脚本传递IP参数利用该漏洞注入任意Web脚本或HTML。
(3)CNNVD-201603-235
漏洞名称:Apache Struts I18NInterceptor 跨站脚本漏洞
漏洞简介:
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。I18NInterceptor是使用在其中的一个国际化拦截器。
Apache Struts 2.3.25之前2.x版本的I18NInterceptor中存在跨站脚本漏洞,该漏洞源于程序没有充分过滤Locale对象中的文本。远程攻击者可利用该漏洞注入任意Web脚本或HTML。
11. 路径遍历(CWE-22: Path Traversal)
11.1 描述
为了识别位于受限的父目录下的文件或目录,软件使用外部输入来构建路径。由于软件不能正确地过滤路径中的特殊元素,能够导致访问受限目录之外的位置。
许多文件操作都发生在受限目录下。攻击者通过使用特殊元素(例如,“..”、“/”)可到达受限目录之外的位置,从而获取系统中其他位置的文件或目录。相对路径遍历是指使用最常用的特殊元素“../”来代表当前目录的父目录。绝对路径遍历(例如"/usr/local/bin")可用于访问非预期的文件。
11.2 常见后果
技术影响:Execute unauthorized code or commands;Modify files or directories;Read files or directories;DoS: crash / exit / restart
影响范围:机密性、完整性和可用性
11.3 与其他漏洞类型关系
上级漏洞类型:输入验证(CWE-20)
11.4 漏洞实例
(1)CNNVD-201509-379
漏洞名称:GE Digital Energy MDS PulseNET和MDS PulseNET Enterprise 绝对路径遍历漏洞
漏洞简介:
GE Digital Energy MDS PulseNET和MDS PulseNET Enterprise都是美国通用电气(GE)公司的产品。GE Digital Energy MDS PulseNET是一套用于监控工业通讯网络设备的软件。MDS PulseNET Enterprise是其中的一个企业版。
GE Digital Energy MDS PulseNET和MDS PulseNET Enterprise 3.1.5之前版本的FileDownloadServlet中的下载功能中存在绝对路径遍历漏洞。远程攻击者可借助完整的路径名利用该漏洞读取或删除任意文件。
(2)CNNVD-201401-124
漏洞名称:QNAP QTS cgi-bin/jc.cgi脚本绝对路径遍历漏洞
漏洞简介:
QNAP QTS是威联通(QNAP Systems)公司的一套Turbo NAS作业系统。该系统可提供档案储存、管理、备份,多媒体应用及安全监控等功能。
QNAP QTS 4.1.0之前版本中的cgi-bin/jc.cgi脚本中存在绝对路径遍历漏洞。远程攻击者可借助‘f’参数中的完整路径名利用该漏洞读取任意文件。
(3)CNNVD-201609-650
漏洞名称:Huawei eSight 路径遍历漏洞
漏洞简介:
Huawei eSight是中国华为(Huawei)公司的一套新一代面向企业基础网络、统一通信、智真会议、视频监控和数据中心的整体运维管理解决方案。该方案支持对多厂商和多类型的设备进行统一的监控和配置管理,并对网络和业务质量进行监视和分析。
Huawei eSight V300R002C00、V300R003C10和V300R003C20版本中存在路径遍历漏洞,该漏洞源于程序没有充分验证路径。远程攻击者可利用该漏洞下载未授权文件,造成信息泄露。
12. 后置链接(CWE-59: Link Following)
12.1 描述
软件尝试使用文件名访问文件,但该软件没有正确阻止表示非预期资源的链接或者快捷方式的文件名。
12.2 常见后果
技术影响:Read files or directories; Modify files or directories; Bypass protection mechanism
影响范围:机密性、完整性和可用性
12.3 与其他漏洞类型关系
上级漏洞类型:输入验证(CWE-20)
12.4 漏洞实例
(1)CNNVD-201510-002
漏洞名称:Apport 后置链接漏洞
漏洞简介:
Ubuntu是英国科能(Canonical)公司和Ubuntu基金会共同开发的一套以桌面应用为主的GNU/Linux操作系统。Apport是其中的一个用于收集并反馈错误信息(当应用程序崩溃时操作系统认为有用的信息)的工具包。
Apport 2.18.1及之前的版本中的kernel_crashdump文件存在安全漏洞。本地攻击者可通过对/var/crash/vmcore.log文件实施符号链接攻击或硬链接攻击利用该漏洞造成拒绝服务(磁盘消耗)或获取权限。
(2)CNNVD-201404-248
漏洞名称:Red Hat libvirt LXC驱动程序后置链接漏洞
漏洞简介:
Red Hat libvirt是美国红帽(Red Hat)公司的一个用于实现Linux虚拟化功能的Linux API,它支持各种Hypervisor,包括Xen和KVM,以及QEMU和用于其他操作系统的一些虚拟产品。
Red Hat libvirt 1.0.1至1.2.1版本的LXC驱动程序(lxc/lxc_driver.c)中存在安全漏洞。本地攻击者可利用该漏洞借助virDomainDeviceDettach API删除任意主机设备;借助virDomainDeviceAttach API创建任意节点(mknod);并借助virDomainShutdown或virDomainReboot API造成拒绝服务(关闭或重新启动主机操作系统)。
(3)CNNVD-201404-363
漏洞名称:Python Image Library和Pillow 后置链接漏洞
漏洞简介:
Python Image Library(PIL)是瑞士软件开发者Fredrik Lundh所研发的一个Python图像处理库。Pillow是对PIL的一些BUG修正后的编译版。
PIL 1.1.7及之前的版本和Pillow 2.3.0及之前的版本中的JpegImagePlugin.py文件的‘load_djpeg’函数;EpsImagePlugin.py文件的‘Ghostscript’函数;IptcImagePlugin.py文件的‘load’函数;Image.py文件的‘_copy’函数存在安全漏洞,该漏洞源于程序没有正确创建临时文件。本地攻击者可通过对临时文件的符号链接攻击利用该漏洞覆盖任意文件,获取敏感信息。
13. 注入(CWE-74: Injection)
13.1 描述
软件使用来自上游组件的受外部影响的输入,构造全部或部分命令、数据结构或记录,但是没有过滤或没有正确过滤掉其中的特殊元素,当发送给下游组件时,这些元素可以修改其解析或解释方式。
软件对于构成其数据和控制的内容有其特定的假设,然而,由于缺乏对用户输入的验证而导致注入问题。
13.2 常见后果
技术影响:Read application data; Bypass protection mechanism; Alter execution logic; Hide activities
影响范围:机密性、完整性
13.3 与其他漏洞类型关系
上级漏洞类型:输入验证(CWE-20)
上级漏洞类型:格式化字符串(CWE-134)、命令注入(CWE-77)、跨站脚本(CWE-7医疗设备物联网安全报告
过时的物联网医疗设备构成重大安全威胁
根据Cynerio的研究,勒索软件已成为医疗保健和医院设备中最糟糕的噩梦,这些设备运行在过时的Windows版本或Linux开源软件上,很容易成为攻击目标。
根据Cynerio对美国300多家医院,超过1000万台物联网和物联网设备进行的报告显示,医疗保健中使用的物联网和医疗物联网(IoMT)设备中,一半以上(53%)存在严重的网络安全风险。
Cynerio为医疗保健提供者制造物联网和安全系统。在报告中,Cynerio的做法是,使用一个连接器,连接到网络核心交换机上的SPAN(交换端口分析器)端口,该连接器收集连接到网络的每个设备的设备流量信息。然后通过内部AI算法分析这些信息,以帮助识别漏洞和威胁。
该报告发现,IV(静脉注射)泵占医院典型医疗保健物联网设备的38%,其中73%的泵至少有一个漏洞,如果被不良行为者识别,可能会危及患者安全、数据机密性、服务可用性。
Constellation Research分析师Liz Miller说:“医疗保健系统具有多个攻击面,例如,医院内的基础设施和医疗记录的数字化设备,全球大流行也为攻击者增添了机会。”
该报告发现,79%的物联网设备每月至少使用一次,而21%的设备可能在四周内不使用。
未打补丁的设备会带来巨大风险
Cynerio的首席技术官Daniel Brodie说:“一旦医疗设备用于患者,它可能一次连续使用数天或数周。许多设备的运行要求是每周7天,每天24小时,中断,即使是打补丁,也可能对医疗工作流程,患者安全和医院运营产生严重后果。这可能会影响设备的安全升级。”
根据Brodie的说法,导致设备错过及时升级的另一个因素是,典型的医院网络可能托管来自不同供应商的设备组合,并使简化修补和升级过程变得过于复杂,以致其无法在各自的停机时间窗口内实现安全升级。
根据该报告,在研究中扫描的物联网设备中,几乎有一半(48%)使用Linux作为其操作系统,这引起了越来越多的关注,因为Linux是一个开源平台,为全球近70%的Web服务器提供支持,在不良行为者社区中非常受欢迎。
Brodie补充道:“我们看到物联网环境中的勒索软件越来越多地针对Linux设备。犯罪分子几乎以定制的方式策划并针对医院的独特设置进行攻击。它比其他类型的攻击需要更长的时间,但潜在的回报要高得多。”
该报告的另一个关键发现是,尽管医疗保健设置中只有极少数物联网设备在Windows上运行,但整个重症监护部门主要由运行旧版Windows的设备主导,这些设备通常比Windows 10更早。他们通常负责直接护理患者,运用在如药理学,肿瘤学和实验室等地方。
勒索软件引领物联网攻击
在针对医疗保健领域的许多网络攻击中,勒索软件已成为显著问题。Cynerio报告指出,2021年针对医院的勒索软件攻击同比增长123%,在500多次攻击中共损失了210亿美元。每次勒索软件攻击的平均成本为800万美元,每次攻击估计需要组织大约287天才能完全恢复。
勒索软件攻击在过去两年中变得更加普遍。根据Forrester分析师Allie Mellen的说法,由于医疗设备的性质,鉴于设备种类繁多,升级遗留系统可能会面临很多挑战。
恶意软件或DDoS(分布式拒绝服务)攻击是最常见的,他们通常会演变为勒索软件攻击。根据Brodie的说法,在典型的攻击中,被停机的设备通常是跟踪患者生命体征的设备,以及编译每位患者的病史和文档的系统。紧随其后的是包括电子邮件和VOIP电话在内的通信系统被关闭,这使得传递关键信息变得困难。在这些攻击期间失去功能的其他系统也许还会有放射、成像、PACS(图像存档和通信系统)机器和扫描仪、静脉输液泵和胰岛素泵、打印机和其他网络设备。
网络分段可以消除关键漏洞
该报告的结论是,尽管URGENT/11和Ripple20最近成为医疗保健物联网设备中的重大漏洞,但它们仅占实际威胁的10%左右。(URGENT/11 和 Ripple20 是指一组漏洞,允许攻击者绕过防火墙,并在没有用户交互的情况下通过 TCP/IP 堆栈远程控制设备。)
根据该报告,最大的漏洞是思科IP电话CVE(常见漏洞和暴露),占检测到的漏洞的31%;另外检测到弱HTTP凭据,占21%;可打开的HTTP端口,占20%。
该报告建议将网络隔离和分段作为修复漏洞的技术,因为对于来自不同供应商的物联网设备来说,打补丁是一个困难的修复方法。它还强调,网络连接的适当平衡,以及东西(设备到设备)和南北(服务器到设备)形式的分段,这对于在不中断连接的情况下确保安全至关重要。
Brodie说:“特别是在医疗保健环境中,你不能让‘分割’干扰临床工作流程或中断患者护理,所以在连接和分离之间肯定需要取得平衡。例如,他详细介绍说,IV泵只能连接到数据中心的服务器,而不能连接到可能更容易访问的其他服务器或设备(在南北分段操作中)。”(本文出自SCA安全通信联盟,转载请注明出处。)
以上是关于医疗器械网络安全漏洞自评报告模板的主要内容,如果未能解决你的问题,请参考以下文章
简单实用的漏洞扫描工具!(如何给单位做一个渗透测试/网络安全测试)?(๑•̀ㅂ•́)و✧ 演示篇