美國政府警告西門子醫療器材有漏洞

美國國土安全部底下的安全部門(ICS-CERT)上周警告，德國西門子數款醫療影像器材出現高風險漏洞，遭致遠端攻擊的風險，目前還未完成修補。
 
事實上西門子已在7月26日發佈安全公告。西門子四款分子影像產品受到Windows 7及HP終端自動化（HP Client Automation）軟體的4項漏洞影響，可能導致遠端入侵，在裝置上執行任意程式碼。
 
受影響的裝置包括PET/CT（正子電腦斷層掃瞄）、SPECT/CT（單光子電腦斷層掃描）、SPECT系統，以及終端系統SPECT Workplaces。所有Windows 7版本皆受影響。
 
4項漏洞中，3項漏洞CVE-2015-1497、CVE-2015-7860、CVE-2015-7861影響HP 終端自動化服務，CVE-2015-1635影響Windows 7，它們都能讓未經授權的遠端攻擊者傳送變造的呼叫，進而執行任意程式碼，影響系統安全性，CVSS Base Score皆為9.8。
 
西門子目前正加緊研發修補程式。在修補完成之前，ICS-CERT和西門子建議醫院儘量能讓裝置連網和公開網際網路切開，甚至在不影響病患安全及治療前提下不要連網。