首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】飛利浦 Vue PACS 7月多個安全漏洞

發布時間 2021-07-13

0x00 漏洞概述

2021年7月6日,美國網絡安全和基礎設施安全局 (CISA) 發布安全公告,披露了飛利浦 Vue 醫療產品中的15個安全漏洞。這些漏洞會影響多款飛利浦臨床醫學協作平臺門戶 (Vue PACS)產品,包括 MyVue、Vue Speech 和 Vue Motion 等。

飛利浦 Vue PACS屬于公共醫療健康領域的基礎設施。未經授權的攻擊者可用利用這些漏洞執行任意代碼、更改系統的預期控制流程、訪問敏感信息或導致系統崩潰。

 

0x01 漏洞詳情

image.png

在本次披露的15個漏洞中,絕大部分都可被遠程利用,并且攻擊復雜度低。此外,有部分漏洞存在于第三方組件中,詳情如下:

CVE ID

描述

CVSS評分

是否遠程利用

攻擊復雜度

CVE-2020-1938

不正確的輸入驗證。

9.8

CVE-2018-12326、CVE-2018-11218

內存緩沖區范圍內的操作限制不當。此漏洞存在于第三方軟件組件 (Redis) 中。

9.8

CVE-2020-4670

認證錯誤。此漏洞存在于第三方軟件組件 (Redis) 中。

9.8

CVE-2018-8014

資源的不安全默認初始化。

9.8

CVE-2021-33020

使用過期的密鑰。

8.2

CVE-2018-10115

資源初始化不當。此漏洞存在于第三方軟件組件 (7-Zip) 中。

7.8

CVE-2021-27501

不正確遵守編碼標準。

7.5

CVE-2021-33018

使用損壞的或有風險的密碼算法,可能會導致敏感信息暴露。

6.5

CVE-2021-27497

保護機制失效。

6.5

CVE-2012-1708

數據完整性問題。此漏洞存在于第三方軟件組件(Oracle 數據庫)中。

6.5

CVE-2015-9251

XSS

6.1

CVE-2021-27493

不能確保結構化消息或數據格式正確并滿足某些安全屬性。

6.1

CVE-2019-9636

當輸入包含 Unicode 編碼時,軟件無法正確處理。

5.3

CVE-2021-33024

使用不安全的方法傳輸或存儲身份驗證憑證。

3.7

CVE-2021-33022

敏感信息明文傳輸。

7.5

 

影響范圍

Vue PACS <= 12.2.xx

Vue MyVue <= 12.2.xx

Vue Speech <= 12.2.xx

Vue Motion <=12.2.1.5

 

0x02 處置建議

目前飛利浦已發布漏洞修復計劃,建議參考CISA或飛利浦官方獲取詳細信息:

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.usa.philips.com/healthcare/about/customer-support/product-security

 

緩解措施

l  盡量減少所有控制系統設備或系統在網絡上暴露,并確保它們不能從 Internet 訪問。

l  將控制系統網絡和遠程設備置于防火墻之后,并將其與商業網絡隔離。

l  當需要遠程訪問時,使用安全的方法,如使用虛擬專用網絡 (VPN),并確保 VPN更新到可用的最新版本。

 

0x03 參考鏈接

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.philips.com/a-w/security/security-advisories.html#security_advisories

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33020

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-07-12

首次發布

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png         image.png

 

 

上一篇 下一篇