关键漏洞信息 1. 执行摘要 CVSS v3 分数: 4.8 注意: 低技能级别可利用 供应商: Medtronic 设备: Valleylab FT10, Valleylab LS10 漏洞: 不正确的身份验证、保护机制失败 2. 风险评估 成功利用这些漏洞可能允许攻击者通过欺骗RFID安全机制将不真实的仪器连接到受影响的产品。这可能导致性能完整性损失和平台可用性下降,因为仪器及其相关参数的识别不正确。 3. 技术细节 3.1 受影响产品 以下Medtronic Valleylab能量和电外科产品受到影响: Valleylab FT10 Energy Platform (VLF10GEN) - 版本2.1.0及更低 - 版本2.0.3及更低 Valleylab LS10 Energy Platform (VLLS10GEN—不在美国销售) - 版本1.20.2及更低 3.2 漏洞概述 3.2.1 不正确的身份验证 CWE-287 RFID安全机制用于FT10/LS10能源平台和仪器之间的身份验证可以被绕过,允许不真实的仪器连接到发生器。 CVE编号: CVE-2019-13531 CVSS v3 基础分数: 4.8 3.2.2 保护机制失败 CWE-693 RFID安全机制不应用读保护,允许对RFID安全机制数据进行完全读取访问。 CVE编号: CVE-2019-13535 CVSS v3 基础分数: 4.6 3.3 背景 关键基础设施部门: 医疗保健和公共卫生 部署国家/地区: 全球 公司总部位置: 爱尔兰 3.4 研究人员 Medtronic向CISA报告了这些漏洞。 4. 缓解措施 现在为受影响的Valleylab平台提供了一个软件补丁。如果怀疑自己拥有未获得FDA批准或未被授权与Medtronic Valleylab FT10或LS10一起使用的仪器,请联系Medtronic或您的医疗设备供应商。有关当前或未来仪器的FDA许可或批准问题,请联系您的医疗设备供应商。请访问Medtronic网站以获取软件补丁。 CISA建议用户采取防御措施以最小化这些漏洞被利用的风险。具体来说,用户应: 将系统访问限制在授权人员,并遵循最低权限原则。 应用纵深防御策略。 如需更多信息,请参考FDA发布的医疗设备网络安全指南。 这些漏洞不能远程利用。