freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“致命”漏洞!医疗系统安全飞利浦Vue PACS医学成像系统存在严重缺陷
2021-07-12 12:01:21

Philips临床协作平台门户(又名Vue PACS)披露了多个安全漏洞,其中一些漏洞可能被对攻击者用来控制受影响的系统。

美国网络安全和基础设施安全局在一份报告中指出,成功利用这些漏洞可能允许未经授权的网络攻击者或进程窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件,或影响系统数据完整性,从而对机密性、完整性产生负面影响或影响系统的可用性。

可用性,”美国网络安全和基础设施安全局 (CISA)在一份咨询报告中指出。

15个缺陷影响:

VUE图片存档和通信系统(版本 12.2.xx 及更早版本),

Vue MyVue(12.2.xx 及更早版本),

Vue Speech(12.2.xx 及更早版本),以及

Vue Motion(12.2.1.5 及更早版本)

其中四个问题(CVE-2020-1938、CVE-2018-12326、CVE-2018-11218、CVE-2020-4670 和 CVE-2018-8014)的通用漏洞评分系统 (CVSS) 基本得分为9.8,并关注输入数据的不当验证以及先前在Redis中修补的缺陷引入的漏洞。

另一个严重缺陷(CVE-2021-33020,CVSS评分:8.2)是由Vue平台使用失效的加密密钥引起的,这通过增加破解对该密钥的攻击的时间窗口来显著降低其安全性。

其他漏洞包括:

使用损坏或有风险的加密算法(CVE-2021-33018)

处理用户可控输入时的跨站脚本攻击(CVE-2015-9251)

保护身份验证凭据的不安全方法(CVE-2021) -33024)

不正确或不正确的资源初始化(CVE-2018-8014)

以及不遵循编码标准(CVE-2021-27501)可能会增加其他漏洞的严重性。

虽然飞利浦在2020年6月和2021年5月发布的更新中解决了一些缺点,但预计这家荷兰医疗保健公司将修补目前正在开发和定于2022年第一季度发布。

在此期间,CISA敦促各机构尽量减少所有控制系统设备在网络环境中暴露,并确保无法从Internet、分段控制系统网络和防火墙之外的远程设备访问它们,并使用虚拟专用网络 (VPN)进行安全远程访问。

系统漏洞给网络犯罪分子提供很好的作案机会,但其实在软件开发初期就可以对漏洞进行检查并修复。由于大多数企业在开发软件过程中更多关注在软件功能性能上,而轻视了系统安全问题,这就导致一些软件在上线后再进行漏洞修复。这样不但会增加修改难度,若漏洞被利用而发生网络攻击,造成的经济损失无法计数。近几年RSA大会上不断出现DevsecOps这个主题,这也说明随着网络安全逐渐涉及各个领域,在软件开发周期中应尽早关注安全话题。在软件开发过程中适时引入静态代码检测、SCA、动态应用测试等自动化检测工具,可以在不影响软件开发效率的同时提高软件安全性。

参读链接:

https://thehackernews.com/2021/07/critical-flaws-reported-in-philips-vue.html

本文作者:, 转载请注明来自FreeBuf.COM

# 系统漏洞 # 数据安全 # 网络安全 # 网络攻击 # 盗取数据
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑