飞利浦医学成像系统披露多个安全漏洞,黑客可远程控制!
近日,飞利浦临床协作平台门户(又名 Vue PACS)中披露了多个安全漏洞,其中一些漏洞可能被攻击者利用来控制受影响的系统。
知名网络安全专家、东方联盟创始人郭盛华透露:“黑客成功利用这些漏洞可能允许未经授权的人或进程窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件或影响系统数据完整性,从而对机密性、完整性产生负面影响或系统的可用性。“
![](https://images.blogchina.com/artpic_upload_v5/60ebd25f57871.jpg!m1024)
15个缺陷影响:
VUE 图片存档和通信系统(版本 12.2.xx 及更早版本),
Vue MyVue(12.2.xx 及更早版本),
Vue Speech(版本 12.2.xx 及更早版本),以及
Vue Motion(12.2.1.5 及更早版本)
其中四个问题(CVE-2020-1938、CVE-2018-12326、CVE-2018-11218、CVE-2020-4670 和 CVE-2018-8014)的通用漏洞评分系统 (CVSS) 基本得分为9.8,并关注输入数据的不当验证以及先前在 Redis 中修补的缺陷引入的漏洞。
另一个严重缺陷(CVE-2021-33020,CVSS 评分:8.2)是由 Vue 平台使用超过其既定到期日期的加密密钥引起的,“这通过增加破解对该密钥的攻击的时间窗口来显着降低其安全性。”
其他弱点包括使用损坏或有风险的加密算法 (CVE-2021-33018)、处理用户可控输入时的跨站点脚本攻击 (CVE-2015-9251)、保护身份验证凭据的不安全方法 (CVE-2021) -33024)、不正确或不正确的资源初始化 (CVE-2018-8014) 以及不遵循编码标准 (CVE-2021-27501) 可能会增加其他漏洞的严重性。
防止数据泄露
虽然飞利浦已在 2020 年 6 月和 2021 年 5 月发布的更新中解决了一些缺点,但预计这家荷兰医疗保健公司将修补目前正在开发和开发的 Speech、MyVue 和 PACS 15 版中的其余安全问题。定于 2022 年第一季度发布。(欢迎转载分享)
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步