Zoll心臟電擊器管理軟體重大漏洞可上傳Excel檔執行惡意指令

美國政府昨日警告，知名醫療設備商Zoll的心臟急救設備有6項安全漏洞，可能導致駭客遠端執行指令等災難後果。

美國網路安全暨基礎架構安全署（CISA）警告，Zoll生產的體外除顫器（Defibrillator）管理設備儀表板軟體有6項漏洞，涵括不受限上傳危險檔案型態（CVE-2021-27489）；使用寫死的加密金鑰（CVE-2021-27481）；明文儲存敏感資訊（CVE-2021-27487）、跨網站指令碼（Cross-site Scripting，CVE-2021-27479）、以可復原格式儲存密碼（CVE-2021-27485）、以及權限管理不當（CVE-2021-27483）。成功開採這些漏洞，可能造成遠端程式碼執行，讓攻擊者取得登入帳密，或是關閉、破壞儀表板應用程式運作。

CISA稱是接獲匿名通報而得知這批漏洞。

Zoll的儀表板（Dashbard）產品是用於管理該公司體外除顫器的軟體。除顫器是在病患因心臟驟停的急救工具。這些漏洞影響Zoll體外除顫器儀表板軟體2.2版本以前所有版本。

6項漏洞中，又以第一項的CVE-2021-27489最為緊急，CVSS 3.1風險層級高達9.9（滿分10）。儀表板Web app允許非管理員上傳惡意檔案，可導致遠端執行任意指令。

至於何種檔案，CISA並未多做解釋，但The Register報導，Zoll的儀表板軟體可匯入微軟Excel檔案，或以Excel檔案格式匯出。而CVE-2021-27489可透過上傳隨機Excel檔案觸發。

Zoll已釋出儀表板最新版2.2版本解決這批漏洞。CISA也呼籲醫院或其他用戶儘速升級到最新版本。