飛利浦 Vue PACS 醫學診斷系統多個高危漏洞預警
一、漏洞情況
近日,飛利浦發布安全漏洞通告,披露了Vue PACS診療平臺存在的15個安全漏洞,攻擊者可用利用這些漏洞執行任意代碼、更改系統的預期控制流程、訪問敏感信息或導致系統崩潰。本次披露的15個安全漏洞大部分都可被遠程利用,并且攻擊復雜度低。目前廠商已發布產品更新進行漏洞修復,建議受影響用戶及時更新至安全版本進行防護,做好資產自查以及預防工作,以免遭受黑客攻擊。
二、漏洞等級
高危
三、漏洞描述
飛利浦Vue PACS是飛利浦(Philips)公司的一款醫學診斷平臺,多用于公共醫療健康領域的基礎設施。
根據漏洞重要性篩選出影響較大的漏洞,漏洞詳情如下:
1. CVE-2021-33020: 安全配置漏洞
飛利浦Vue PACS診療平臺仍在使用過期的安全密鑰,可導致攻擊者可以利用以往被泄露的密鑰對現有的系統發起攻擊。
2. CVE-2021-27501: 安全配置漏洞
飛利浦Vue PACS診療平臺的代碼未遵循代碼安全規則,可導致攻擊者可以利用這些代碼邏輯錯誤對平臺實施攻擊。
3. CVE-2021-33018: 安全配置漏洞
飛利浦Vue PACS診療平臺仍在使用存在安全隱患的加密算法,可導致攻擊者可以利用針對加密算法的漏洞對平臺發起攻擊。
4. CVE-2021-27497: 安全防護缺陷漏洞
飛利浦Vue PACS診療平臺在安全性上存在重大隱患,其未使用充分的安全措施來保障平臺的正確運行。
5. CVE-2021-27493: 數據未校驗漏洞
飛利浦Vue PACS診療平臺在接受數據時,未針對數據進行嚴格的字段校驗,導致不受信任、危險的數據在平臺內部流轉。攻擊者通過構造特制的請求包可在平臺上執行非預期的功能。
6. CVE-2021-33024: 身份信息明文傳輸漏洞
飛利浦Vue PACS診療平臺在傳輸以及存儲身份憑證時,使用了不安全的方式(未加密)。導致攻擊者通過嗅探、攔截網絡流量可直接獲得平臺相關身份憑據,并借此登錄平臺實施進一步攻擊。
7. CVE-2021-33022: 明文傳輸漏洞
飛利浦Vue PACS診療平臺在通信過程中以明文形式傳輸敏感或安全關鍵數據,未經授權的攻擊者可以在互聯網中嗅探到該數據中的詳細信息。
四、影響范圍
Philips Vue PACS <= 12.2.x.x
Philips Vue MyVue <= 12.2.x.x
Philips Vue Speech <= 12.2.x.x
Philips Vue Motion <= 12.2.1.5
五、安全建議
1、目前飛利浦官方已發布軟件更新進行漏洞修復,建議受影響用戶可聯系當地的飛利浦服務支持團隊獲得相關技術執行。
https://www.philips.com/a-w/security/secur...
2、 臨時緩解措施:
1) 及時開啟飛利浦Vue平臺的自動更新功能;
2) 在安裝更新后,斷開飛利浦Vue平臺和互聯網的連接,保證只能通過內部網絡進行登錄訪問 ;
3) 使用防火墻隔離飛利浦Vue平臺,使其與個人終端互通受限。
六、參考鏈接
