보고 방법(로슈 고객)
귀하가 로슈의 고객인 경우/고객을 대표하는 경우, 귀하의 서비스 계약에 따른 적절한 불만 처리 및 프로세스의 보장을 위해 잠재적 사이버 보안 취약성 등의 제품 문제를 현지 로슈진단 담당 계열사에 알리십시오.
보고 방법(보안 연구원 및 기타 취약성 검색기)
로슈진단 제품 및/또는 서비스에 대한 잠재적인 사이버 보안 취약성을 보고하려면 [email protected]으로 문의하십시오.
URGENT/11 - VxWorks의 여러 취약성(2019년 9월 27일)
발행일: 2019-09-27
마지막 업데이트: 2019-09-27
개요서
로슈는 최근 Armis의 보안 연구원이 공개한 Wind River의 VxWorks RTOS를 포함한 다수의 실시간 운영 체제(RTOS) 내 일련의 보안 취약성에 대해 인지하고 있습니다. 일반적으로 URGENT/11이라고 일컫는 이러한 취약성은 여러 RTOS의 TCP/IP 스택에 영향을 미치며, 공격자가 사용자와 상호 작용하지 않고 시스템을 대신 사용할 수 있도록 하는 원격 코드 실행으로 이어질 수 있습니다.
로슈진단은 제품 보안 정책의 일환으로 이러한 취약성으로 인한 잠재적 영향에 대해 당사 제품을 평가했으며 당사 제품에 대해 어떠한 조치도 필요하지 않다고 판단했습니다.
일반적인 보안 조치로서, 로슈는 로슈 방화벽을 포함한 적절한 메커니즘이 있는 장치에 대한 네트워크 접근을 철저히 제어할 것을 강력히 권장합니다. 로슈의 설치 지침에 따라 작동 환경을 구성하고 제품 설명서의 권장 사항을 따를 것을 적극 권장합니다.
영향을 받는 제품
당사의 검토에서 VxWorks 운영 체제를 사용하는 제한적인 로슈진단 제품 세트(IVD 분석장비 및 시스템)가 확인되었습니다. 이는 두 가지 범주로 나뉩니다.
상기 제품 중 어느 것도 취약성에 노출되거나 위험하지 않습니다.
잠재적 영향
보고된 취약성에 대한 당사의 현재 평가는 로슈진단 제품이 URGENT/11 세트의 취약성에 의해 직접적으로 영향을 받지 않는다는 것입니다. VxWorks의 취약한 버전을 일부 사용하고 있긴 하나, 이러한 제품은 고객 네트워크 연결이 없는 격리된 장치에서 실행되므로 위험하지 않습니다. 로슈진단 제품은 VxWorks를 기반으로 하지 않는 방화벽을 사용하므로 URGENT/11 취약성에 민감하지 않습니다.
자세한 정보나 우려 사항은 현지 로슈진단으로 문의하십시오.
완화 조치/해결책
이러한 취약성에 대한 완화 조치 또는 해결책은 필요하지 않습니다.
문의하기
로슈 고객
현지 로슈진단으로 연락하십시오
보안 연구원
진단 제품 관련 보안 주제는 [email protected]로 문의하십시오
로슈와 관련된 일반 보안 주제에 대해서는 [email protected]로 문의하십시오
