Philips临床协作平台门户(又名Vue PACS)披露了多个安全漏洞，其中一些漏洞可能被对攻击者用来控制受影响的系统。

美国网络安全和基础设施安全局在一份报告中指出，成功利用这些漏洞可能允许未经授权的网络攻击者或进程窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件，或影响系统数据完整性，从而对机密性、完整性产生负面影响或影响系统的可用性。

可用性，”美国网络安全和基础设施安全局 (CISA)在一份咨询报告中指出。

15个缺陷影响：

VUE图片存档和通信系统(版本 12.2.xx 及更早版本)，

Vue MyVue(12.2.xx 及更早版本)，

Vue Speech(12.2.xx 及更早版本)，以及

Vue Motion(12.2.1.5 及更早版本)

其中四个问题(CVE-2020-1938、CVE-2018-12326、CVE-2018-11218、CVE-2020-4670 和 CVE-2018-8014)的通用漏洞评分系统 (CVSS) 基本得分为9.8，并关注输入数据的不当验证以及先前在Redis中修补的缺陷引入的漏洞。

另一个严重缺陷(CVE-2021-33020，CVSS评分：8.2)是由Vue平台使用失效的加密密钥引起的，这通过增加破解对该密钥的攻击的时间窗口来显著降低其安全性。

其他漏洞包括：

使用损坏或有风险的加密算法(CVE-2021-33018)

处理用户可控输入时的跨站脚本攻击(CVE-2015-9251)

保护身份验证凭据的不安全方法(CVE-2021) -33024)

不正确或不正确的资源初始化(CVE-2018-8014)

以及不遵循编码标准(CVE-2021-27501)可能会增加其他漏洞的严重性。

虽然飞利浦在2020年6月和2021年5月发布的更新中解决了一些缺点，但预计这家荷兰医疗保健公司将修补目前正在开发和定于2022年第一季度发布。

在此期间，CISA敦促各机构尽量减少所有控制系统设备在网络环境中暴露，并确保无法从Internet、分段控制系统网络和防火墙之外的远程设备访问它们，并使用虚拟专用网络 (VPN)进行安全远程访问。

系统漏洞给网络犯罪分子提供很好的作案机会，但其实在软件开发初期就可以对漏洞进行检查并修复。由于大多数企业在开发软件过程中更多关注在软件功能性能上，而轻视了系统安全问题，这就导致一些软件在上线后再进行漏洞修复。这样不但会增加修改难度，若漏洞被利用而发生网络攻击，造成的经济损失无法计数。近几年RSA大会上不断出现DevsecOps这个主题，这也说明随着网络安全逐渐涉及各个领域，在软件开发周期中应尽早关注安全话题。在软件开发过程中适时引入静态代码检测、SCA、动态应用测试等自动化检测工具，可以在不影响软件开发效率的同时提高软件安全性。

参读链接：

https://thehackernews.com/2021/07/critical-flaws-reported-in-philips-vue.html