飛利浦 Vue PACS醫學診斷系統多個安全漏洞的預警

7月14日，國家信息安全漏洞庫（CNNVD）發布了《關于飛利浦 Vue PACS醫學診斷系統多個安全漏洞的預警》，華云安作為CNNVD技術支撐單位為此漏洞通報提供支持。

近日，飛利浦官方發布了多個安全漏洞的公告，包括Philips Vue PACS 安全漏洞（CNNVD-202107-242、CVE-2021-33020）、Philips Vue PACS加密問題漏洞（CNNVD-202107-238、CVE-2021-33018）等。成功利用漏洞的攻擊者可以對飛利浦Vue PACS醫學診斷系統發送惡意請求、獲取用戶敏感信息，導致系統無法正常工作，最終控制目標系統。VUE Picture Archiving and Communication Systems 12.2.x.x及以下版本、Vue MyVue 12.2.x.x及以下版本、Vue Speech 12.2.x.x及以下版本、Vue Motion 12.2.1.5及以下版本均受漏洞影響。目前，飛利浦官方已經發布了解決方案修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

一、漏洞介紹

飛利浦 Vue PACS是飛利浦公司的一款醫學診斷平臺，多用于公共醫療健康領域的基礎設施。2021年7月12日，飛利浦官方發布了多個安全漏洞的公告，詳細信息如下：

序號漏洞名稱漏洞編號漏洞簡介1Philips Vue PACS 安全漏洞（CNNVD-202107-242、CVE-2021-33020）漏洞源于該平臺使用過期的安全密鑰，導致攻擊者可以通過使用曾經泄露的密鑰對系統發起攻擊。2Philips Vue PACS 安全漏洞（CNNVD-202107-238、CVE-2021-33018）該漏洞源于使用了存在安全隱患的加密算法，導致攻擊者可以利用針對加密算法的漏洞對平臺發起攻擊。3Philips Vue PACS 安全漏洞（CNNVD-202107-235、CVE-2021-27497）該漏洞源于產品未使用或錯誤地使用保護機制，對其提供針對產品的定向攻擊的充分防御。4Philips Vue PACS 安全漏洞（CNNVD-202107-245、CVE-2021-27493）由于對用戶提供的數據沒有進行嚴格過濾，攻擊者可通過構造特制的請求包觸發該漏洞，進而在目標平臺上執行惡意代碼。5Philips Vue PACS 安全漏洞（CNNVD-202107-250、CVE-2021-33024）該漏洞源于產品傳輸或存儲身份驗證憑據時使用了不安全的方法，容易受到未經授權的攔截或檢索。6Philips Vue PACS 安全漏洞（CNNVD-202107-248、 CVE-2021-33022）該漏洞源于軟件以明文方式傳輸敏感或對安全至關重要的數據，這種通信通道可以被未經授權的攻擊者嗅探到。

二、危害影響

成功利用漏洞的攻擊者可以對飛利浦Vue PACS診療平臺發送惡意請求、獲取用戶敏感信息，導致平臺無法正常工作，最終控制目標系統。VUE Picture Archiving and Communication Systems 12.2.x.x及以下版本、Vue MyVue 12.2.x.x及以下版本、Vue Speech 12.2.x.x及以下版本、Vue Motion 12.2.1.5及以下版本均受漏洞影響。飛利浦 Vue PACS醫學診斷系統在全球范圍內擁有大量用戶，主要部署在內網中使用。

三、修復建議

目前，飛利浦官方已經發布了解決方案修復了漏洞，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。官方鏈接如下：

https://www.philips.com/a-w/security/security-advisories.html#security_advisories