Diagnostics Product Cyber Security

Avviso sulla sicurezza dei prodotti

Come effettuare una segnalazione (clienti Roche)

Se Lei è/rappresenta un cliente di Roche, La preghiamo di informare la Sua affiliata locale responsabile di Roche Diagnostics in merito a problemi relativi ai prodotti, comprese eventuali potenziali vulnerabilità della sicurezza informatica, al fine di garantire la corretta gestione ed elaborazione dei reclami in conformità al Suo contratto di assistenza. Verifichi nella sezione Contatti la modalità di contatto per l’Italia.

 

Come effettuare una segnalazione (ricercatori addetti alla sicurezza e altri soggetti che rilevano vulnerabilità)

Se desidera segnalare una potenziale vulnerabilità della sicurezza informatica in un prodotto e/o servizio di Roche Diagnostics, La preghiamo di contattarci all’indirizzo [email protected].

Avviso sulla sicurezza dei prodotti e archivio

Avviso sulla sicurezza dei prodotti e archivio

Data di pubblicazione: 27-9-2019

Ultimo aggiornamento: 27-9-2019

 

Sintesi

Roche è a conoscenza di una serie di vulnerabilità della sicurezza all'interno di una serie di sistemi operativi in tempo reale (RTOS), tra cui VxWorks RTOS di Wind River, che sono stati recentemente divulgati dai ricercatori addetti alla sicurezza di Armis. Queste vulnerabilità, comunemente indicate con URGENT/11, influiscono sullo stack TCP/IP di più RTOS e potrebbero portare all'esecuzione remota del codice che potrebbe consentire a un aggressore di assumere il controllo di un sistema senza interagire con l'utente.

Nell’ambito delle nostre politiche sulla sicurezza dei prodotti, Roche Diagnostics ha valutato i propri prodotti per individuare i potenziali impatti associati a queste vulnerabilità e ha stabilito che non sono necessarie azioni per i propri prodotti.

Come misura di sicurezza generale, Roche raccomanda vivamente di controllare accuratamente l’accesso alla rete dei dispositivi con meccanismi appropriati, compreso il firewall di Roche. Si raccomanda vivamente di configurare l'ambiente operativo secondo le linee guida di installazione di Roche e di seguire le raccomandazioni contenute nei manuali dei prodotti.

 

 

Prodotti interessati

La nostra revisione ha identificato una serie limitata di prodotti Roche Diagnostics (analizzatori e sistemi IVD) che utilizzano il sistema operativo VxWorks. Questi rientrano in due categorie:

  1. Prodotti connessi che non includono versioni vulnerabili di VxWorks 
  2. Prodotti offline che possono utilizzare versioni vulnerabili di VxWorks ma non sono a rischio in quanto non sono connessi alla rete

Nessuno di questi prodotti espone le vulnerabilità o è a rischio.

 

Potenziale impatto

La nostra attuale valutazione delle vulnerabilità segnalate ha concluso che i prodotti Roche Diagnostics non sono direttamente influenzati dalla serie di vulnerabilità URGENT/11. Sebbene esistano alcune versioni vulnerabili di VxWorks, questi prodotti funzionano su unità isolate senza connettività alla rete del cliente e pertanto non sono a rischio. I prodotti Roche Diagnostics utilizzano un firewall che non si basa su VxWorks e pertanto non è di per sé sensibile alle vulnerabilità di URGENT/11.

Per ulteriori informazioni o dubbi, si prega di contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Contatti.

 

Mitigazioni / Soluzioni alternative

Per queste vulnerabilità non sono necessarie mitigazioni o soluzioni alternative.

Per ulteriori informazioni o dubbi, si prega di contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Contatti.

 

 

 

Informazioni per contattarci

Clienti Roche

Contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Contatti.

 

Ricercatori addetti alla sicurezza

Per argomenti sulla sicurezza in relazione ai prodotti diagnostici, contattare [email protected]

Per argomenti generali sulla sicurezza in relazione a Roche, contattare [email protected]