示意圖,與新聞事件無關。

圖片來源: 

飛利浦

美國國土安全部旗下的工業控制系統網路緊急應變小組(ICS-CERT)周二警告,飛利浦IntelliSpace Cardiovascular心血管影像及資訊管理系統出現兩項漏洞,可能導致任意程式碼執行,進而讓外人竊取醫療影像及病患診斷資料。

根據ICS-CERT的安全公告,編號CVE-2018-14787的漏洞影響IntelliSpace Cardiovascular系統2.x及之前版本,及伺服器軟體Xcelera 4.1以前的版本。飛利浦安全公告指出,在上述版本的伺服器上包含20項Windows服務,其可執行檔位於駭客具有寫入權限的資料夾。這些Windows服務可以本機管理員帳號執行,一旦有人將之置換成惡意程式,則該惡意程式也能以本機管理員帳號或系統權限執行。更糟的是,一個技術普通的攻擊者就能開採本項漏洞。該漏洞CVSS v3 基準分7.3分,屬於高度風險漏洞。

第二項漏洞CVE-2018-14789則是不帶引號搜尋路徑或element漏洞(unquoted search path or element vulnerability)。受本漏洞影響的產品為IntelliSpace Cardiovascular系統3.1及之前版本,及伺服器軟體Xcelera 4.1以前的版本。在這些伺服器上,有16項Windows服務路徑名稱不帶括號。由於這些服務是以本機管理員權限執行,並以機碼開頭,因此路徑能讓攻擊者植入有本機管理員權限的可執行檔。本漏洞CVSS v3 基準分4.2分,屬於中度風險漏洞。

成功開採上述兩項漏洞都能讓攻擊者取得管理員權限,進而開啟包含可執行檔的資料夾,這時攻擊者即可執行後門、木馬等任意程式碼,包括竄改、取得或刪除病患診斷資料或醫學影像。不過飛利浦表示,攻擊者需為經驗證的使用者,並需能本機存取ISCV/Xcelera伺服器。但預設狀態下,只有管理員才有本機存取的權限。

飛利浦預計10月釋出IntelliSpace Cardiovascular 3.2.0更新版加以修補,屆時客戶會經平日的服務和經銷通路取得更新。


Advertisement

更多 iThome相關內容