Canon醫療影像讀取軟體傳資料外洩漏洞

安全廠商發現，Canon Medical用於顯示及分享X光片、MRI等醫療影像的軟體Vitrea View出現可能導致病患敏感資料遭人存取的漏洞。Canon已經於4月發布更新軟體。

Trustwave Spiderlabs兩名研究人員Jordan Hedges及Avery Warddhana近日發現2項位於Canon Medical Vitrea View軟體的漏洞。Vitrea View是利用DICOM標準讀取醫療影像的工具，一旦遭開採，可讓攻擊者得以存取病患資訊，並且利用這軟體存取相關多項系統。

研究人員發現兩項反射式跨網站指令碼（Reflected Cross-site scripting，XSS）漏洞，但合稱為CVE-2022-37461。

安全公司Vitalimages說明，這項反射式XSS漏洞有2種攻擊法，分別為授權前（pre-authorization）及授權後（post-authorization）攻擊，兩種手法中，攻擊者都會撰寫一個指向Vitrea View軟體的惡意URL，而授權後攻擊還需要以社交工程誘騙或要求Vitrea View用戶點擊惡意URL。一旦用戶點選URL，攻擊者就可在用戶瀏覽器執行惡意腳本程式，將合法用戶的cookies藉由有漏洞Vitrea View所在網站／伺服器，回傳給駭客。

Trustwave發現到的漏洞分別位於錯誤訊息頁及Vitrea View管理控制臺。其中，利用Vitrea View管理控制臺漏洞，一旦管理員點選URL，攻擊者就能建立和修改Vitrea View應用程式使用的Python、JavaScript和Groovy script。

這個漏洞影響Vitrea View 7.x版，經過通報後，Canon Medical已經在今年4月釋出Vitrea View 7.7.6版。研究人員建議用戶儘速升級到最新版。

但Canon Medical 說明，Canon Medical其他軟體包括Vitrea Advanced Visualization、Vitrea Read、Vitrea Connection，以及Canon Medical用來建立醫療影像的軟體，如X光掃瞄、MRI掃瞄儀等不受漏洞影響。