近日,飞利浦临床协作平台门户(又名 Vue PACS)中披露了多个安全漏洞,其中一些漏洞可能被攻击者利用来控制受影响的系统。
知名网络安全专家、东方联盟创始人郭盛华透露:“黑客成功利用这些漏洞可能允许未经授权的人或进程窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件或影响系统数据完整性,从而对机密性、完整性产生负面影响或系统的可用性。“
15个缺陷影响:
VUE 图片存档和通信系统(版本 12.2.xx 及更早版本),
Vue MyVue(12.2.xx 及更早版本),
Vue Speech(版本 12.2.xx 及更早版本),以及
Vue Motion(12.2.1.5 及更早版本)
其中四个问题(CVE-2020-1938、CVE-2018-12326、CVE-2018-11218、CVE-2020-4670 和 CVE-2018-8014)的通用漏洞评分系统 (CVSS) 基本得分为9.8,并关注输入数据的不当验证以及先前在 Redis 中修补的缺陷引入的漏洞。
另一个严重缺陷(CVE-2021-33020,CVSS 评分:8.2)是由 Vue 平台使用超过其既定到期日期的加密密钥引起的,“这通过增加破解对该密钥的攻击的时间窗口来显着降低其安全性。”
其他弱点包括使用损坏或有风险的加密算法 (CVE-2021-33018)、处理用户可控输入时的跨站点脚本攻击 (CVE-2015-9251)、保护身份验证凭据的不安全方法 (CVE-2021) -33024)、不正确或不正确的资源初始化 (CVE-2018-8014) 以及不遵循编码标准 (CVE-2021-27501) 可能会增加其他漏洞的严重性。
防止数据泄露
虽然飞利浦已在 2020 年 6 月和 2021 年 5 月发布的更新中解决了一些缺点,但预计这家荷兰医疗保健公司将修补目前正在开发和开发的 Speech、MyVue 和 PACS 15 版中的其余安全问题。定于 2022 年第一季度发布。(欢迎转载分享)