CNNVD 關于飛利浦 Vue PACS醫學診斷系統多個安全漏洞的預警

  近日，飛利浦官方發布了多個安全漏洞的公告，包括Philips Vue PACS 安全漏洞（CNNVD-202107-242、CVE-2021-33020）、Philips Vue PACS加密問題漏洞（CNNVD-202107-238、CVE-2021-33018）等。成功利用漏洞的攻擊者可以對飛利浦Vue PACS醫學診斷系統發送惡意請求、獲取用戶敏感信息，導致系統無法正常工作，最終控制目標系統。VUE Picture Archiving and Communication Systems 12.2.x.x及以下版本、Vue MyVue 12.2.x.x及以下版本、Vue Speech 12.2.x.x及以下版本、Vue Motion 12.2.1.5及以下版本均受漏洞影響。目前，飛利浦官方已經發布了解決方案修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

  飛利浦 Vue PACS是飛利浦公司的一款醫學診斷平臺，多用于公共醫療健康領域的基礎設施。2021年7月12日，飛利浦官方發布了多個安全漏洞的公告，詳細信息如下：

序號

漏洞名稱

漏洞編號

漏洞簡介

1

Philips Vue PACS 安全漏洞

（CNNVD-202107-242、CVE-2021-33020）

漏洞源于該平臺使用過期的安全密鑰，導致攻擊者可以通過使用曾經泄露的密鑰對系統發起攻擊。

2

Philips Vue PACS 安全漏洞

（CNNVD-202107-238、CVE-2021-33018）

該漏洞源于使用了存在安全隱患的加密算法，導致攻擊者可以利用針對加密算法的漏洞對平臺發起攻擊。

3

Philips Vue PACS 安全漏洞

（CNNVD-202107-235、CVE-2021-27497）

該漏洞源于產品未使用或錯誤地使用保護機制，對其提供針對產品的定向攻擊的充分防御。

4

Philips Vue PACS 安全漏洞

（CNNVD-202107-245、CVE-2021-27493）

由于對用戶提供的數據沒有進行嚴格過濾，攻擊者可通過構造特制的請求包觸發該漏洞，進而在目標平臺上執行惡意代碼。

5

Philips Vue PACS 安全漏洞

（CNNVD-202107-250、CVE-2021-33024）

該漏洞源于產品傳輸或存儲身份驗證憑據時使用了不安全的方法，容易受到未經授權的攔截或檢索。

6

Philips Vue PACS 安全漏洞

（CNNVD-202107-248、 CVE-2021-33022）

該漏洞源于軟件以明文方式傳輸敏感或對安全至關重要的數據，這種通信通道可以被未經授權的攻擊者嗅探到。

二、危害影響

  成功利用漏洞的攻擊者可以對飛利浦Vue PACS診療平臺發送惡意請求、獲取用戶敏感信息，導致平臺無法正常工作，最終控制目標系統。VUE Picture Archiving and Communication Systems 12.2.x.x及以下版本、Vue MyVue 12.2.x.x及以下版本、Vue Speech 12.2.x.x及以下版本、Vue Motion 12.2.1.5及以下版本均受漏洞影響。飛利浦 Vue PACS醫學診斷系統在全球范圍內擁有大量用戶，主要部屬在內網中使用。

三、修復建議

  目前，飛利浦官方已經發布了解決方案修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。官方鏈接如下：

https://www.philips.com/a-w/security/security-advisories.html#security_advisories

本通報由CNNVD技術支撐單位——北京華云安信息技術有限公司、深信服科技股份有限公司、杭州安恒信息技術股份有限公司、數字觀星應急響應中心、北京鴻騰智能科技有限公司、內蒙古洞明科技有限公司、北京啟明星辰信息安全技術有限公司等技術支撐單位提供支持。

  CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。聯系方式: cnnvd@itsec.gov.cn