飞利浦 Vue PACS 医学诊断系统多个高危漏洞预警
一、漏洞情况
近日,飞利浦发布安全漏洞通告,披露了Vue PACS诊疗平台存在的15个安全漏洞,攻击者可用利用这些漏洞执行任意代码、更改系统的预期控制流程、访问敏感信息或导致系统崩溃。本次披露的15个安全漏洞大部分都可被远程利用,并且攻击复杂度低。目前厂商已发布产品更新进行漏洞修复,建议受影响用户及时更新至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
高危
三、漏洞描述
飞利浦Vue PACS是飞利浦(Philips)公司的一款医学诊断平台,多用于公共医疗健康领域的基础设施。
根据漏洞重要性筛选出影响较大的漏洞,漏洞详情如下:
1. CVE-2021-33020: 安全配置漏洞
飞利浦Vue PACS诊疗平台仍在使用过期的安全密钥,可导致攻击者可以利用以往被泄露的密钥对现有的系统发起攻击。
2. CVE-2021-27501: 安全配置漏洞
飞利浦Vue PACS诊疗平台的代码未遵循代码安全规则,可导致攻击者可以利用这些代码逻辑错误对平台实施攻击。
3. CVE-2021-33018: 安全配置漏洞
飞利浦Vue PACS诊疗平台仍在使用存在安全隐患的加密算法,可导致攻击者可以利用针对加密算法的漏洞对平台发起攻击。
4. CVE-2021-27497: 安全防护缺陷漏洞
飞利浦Vue PACS诊疗平台在安全性上存在重大隐患,其未使用充分的安全措施来保障平台的正确运行。
5. CVE-2021-27493: 数据未校验漏洞
飞利浦Vue PACS诊疗平台在接受数据时,未针对数据进行严格的字段校验,导致不受信任、危险的数据在平台内部流转。攻击者通过构造特制的请求包可在平台上执行非预期的功能。
6. CVE-2021-33024: 身份信息明文传输漏洞
飞利浦Vue PACS诊疗平台在传输以及存储身份凭证时,使用了不安全的方式(未加密)。导致攻击者通过嗅探、拦截网络流量可直接获得平台相关身份凭据,并借此登录平台实施进一步攻击。
7. CVE-2021-33022: 明文传输漏洞
飞利浦Vue PACS诊疗平台在通信过程中以明文形式传输敏感或安全关键数据,未经授权的攻击者可以在互联网中嗅探到该数据中的详细信息。
四、影响范围
Philips Vue PACS <= 12.2.x.x
Philips Vue MyVue <= 12.2.x.x
Philips Vue Speech <= 12.2.x.x
Philips Vue Motion <= 12.2.1.5
五、安全建议
1、目前飞利浦官方已发布软件更新进行漏洞修复,建议受影响用户可联系当地的飞利浦服务支持团队获得相关技术执行。
https://www.philips.com/a-w/security/secur...
2、 临时缓解措施:
1) 及时开启飞利浦Vue平台的自动更新功能;
2) 在安装更新后,断开飞利浦Vue平台和互联网的连接,保证只能通过内部网络进行登录访问 ;
3) 使用防火墙隔离飞利浦Vue平台,使其与个人终端互通受限。
六、参考链接
