飞利浦医学成像系统披露多个安全漏洞，黑客可远程控制！

近日，飞利浦临床协作平台门户（又名 Vue PACS）中披露了多个安全漏洞，其中一些漏洞可能被攻击者利用来控制受影响的系统。

知名网络安全专家、东方联盟创始人郭盛华透露：“黑客成功利用这些漏洞可能允许未经授权的人或进程窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件或影响系统数据完整性，从而对机密性、完整性产生负面影响或系统的可用性。“

15个缺陷影响：

VUE 图片存档和通信系统（版本 12.2.xx 及更早版本），

Vue MyVue（12.2.xx 及更早版本），

Vue Speech（版本 12.2.xx 及更早版本），以及

Vue Motion（12.2.1.5 及更早版本）

其中四个问题（CVE-2020-1938、CVE-2018-12326、CVE-2018-11218、CVE-2020-4670 和 CVE-2018-8014）的通用漏洞评分系统 (CVSS) 基本得分为9.8，并关注输入数据的不当验证以及先前在 Redis 中修补的缺陷引入的漏洞。

另一个严重缺陷（CVE-2021-33020，CVSS 评分：8.2）是由 Vue 平台使用超过其既定到期日期的加密密钥引起的，“这通过增加破解对该密钥的攻击的时间窗口来显着降低其安全性。”

其他弱点包括使用损坏或有风险的加密算法 (CVE-2021-33018)、处理用户可控输入时的跨站点脚本攻击 (CVE-2015-9251)、保护身份验证凭据的不安全方法 (CVE-2021) -33024)、不正确或不正确的资源初始化 (CVE-2018-8014) 以及不遵循编码标准 (CVE-2021-27501) 可能会增加其他漏洞的严重性。

防止数据泄露

虽然飞利浦已在 2020 年 6 月和 2021 年 5 月发布的更新中解决了一些缺点，但预计这家荷兰医疗保健公司将修补目前正在开发和开发的 Speech、MyVue 和 PACS 15 版中的其余安全问题。定于 2022 年第一季度发布。（欢迎转载分享）