公开披露四年后,Misfortune Cookie漏洞仍然是一个威胁,这一次影响了将床边设备连接到医院网络基础设施的医疗设备。
该漏洞具有严重的严重等级,最初于2014年由Check Point的安全研究人员报告,他发现它存在于某些版本的RomPager嵌入式Web服务器中,用于托管基于Web的管理面板, 来自不同的200个路由器模型制造商。
专注于医院和临床网络安全挑战的CyberMDX公司研究负责人Elad Luz 发现受Misfortune Cookie影响的相同版本的RomPager(4.01到4.34)运行在不同的Capsule Datacatptor终端服务器(DTS)版本上这是医疗设备信息系统的一部分。
该设备用于医院,将床边设备(麻醉和输液泵,呼吸器和物联网产品)连接到网络。
工业控制系统网络应急响应小组(ICS-CERT)发布了针对该漏洞的警报,现在跟踪为CVE-2014-9222,告知其严重性得分为9.8(满分10分)。
“此漏洞允许攻击者将特制的HTTP cookie发送到Web管理门户,以将任意数据写入设备内存,这可能允许远程执行代码,”通知ICS-CERT警报。
高通公司生活子公司Capsule Technologies发布了修补漏洞的补丁,但它仅适用于2009年DTS的单板版本。
技术限制阻止固件在双板,Capsule Digi Connect ES和Capsule Digi Connect ES上转换为DTS。为了降低这些产品的风险,管理员应该禁用嵌入式服务器,这只是在初始部署阶段才需要进行配置。
可以免费获得此安全漏洞的漏洞利用代码,攻击者可以根据自己的需要和目的对其进行调整。除此之外,Metasploit渗透测试工具中还有一个模块,用于在不提供凭据的情况下获得对设备的管理员访问权限。
RomPager由Allegro Software开发,是当今市场上最常用的OEM Web服务器之一。该公司声称该产品存在于其全球合作伙伴发运的2亿多台设备上。
虽然Misfortune Cookie在2014年获得了公众声誉,但Allegro Aoftware 在固件版本4.34中实际上发现并修补了它 9年前的版本。
但是,芯片组制造商没有采用新版本,这将花费他们新的许可证,并继续将易受攻击的版本捆绑到他们的SDK(软件开发工具包)中。设备制造商使用SDK来开发固件,并且他们无法控制随附的软件。
RomPager版本附带易受CVE-2014-9222攻击的设备无法更新,除非芯片组制造商提供了一个新的SDK与更新的软件。
只要用户继续使用他们的设备,这就导致多年来传播关键安全问题。
Allegro处理问题13年后,在问题引起公众关注的四年后,有很多产品容易受到Misfortune Cookie的影响。对Shodan的粗略搜索显示,连接到互联网的超过一百万台设备运行RomPager 4.07。
这个数字远远低于Check Point在2014年检测到的1200万个可直接利用的独特设备,但它仍然是一个重要数字。
领取专属 10元无门槛券
私享最新 技术干货