Philips病人监控解决方案中存在多个安全漏洞,攻击者可利用这些漏洞未授权访问患者数据。
研究人员发现共计八个安全漏洞。美国网络安全和基础设施安全局(CISA)在一则安全告警中称,虽然这些漏洞的严重等级为中危和低危,但即便是低技术水平的攻击者也可以利用它们。
CISA表示,“成功利用这些漏洞可以导致越权访问,中断监控,收集访问信息和患者数据。”
这些安全漏洞是ERNW的研究人员在一个由德国联邦信息安全办公室监管的大型项目中发现的。这些漏洞影响IntelliVue Patient Monitor系统,Patient Information Center iX (PIC iX) 软件,和为远程启用提供动力的PerformanceBridge Focal Point。
这些漏洞分别为对某个CSV文件中的公式元素中和不当(CVE-2020-16214),跨站脚本(CVE-2020-16218),身份认证不当(CVE-2020-16222),证书撤销检查不当(CVE-2020-16228),对长度参数不一致处理不当(CVE-2020-16224),对输入的句法正确性验证不当(CVE-2020-16220),输入验证错误(CVE-2020-16216),和将资源暴露给错误的控制范围(CVE-2020-16212)。
Philips已就这些漏洞发布了一则安全公告,确认利用漏洞只需要低技术水平。该公司同时解释称,寻求利用这些漏洞的攻击者需要从物理位置上-访问监控中心和病人监控仪或访问该医疗设备网络。
该公司指出,“目前尚未有针对这些漏洞的已知公开利用。到目前为止,Philips没有收到任何利用这些漏洞的报告或我们能够与这些漏洞关联的,来自临床使用的事故报告。”
Philips当前正在开发新的版本以修复这些漏洞:PIC iX将会在2020年底更新,IntelliVue N.00和N.01版本在2021年第一季度更新,PerformanceBridge Focal Point在2021年第二季度更新,IntelliVue M.04在2021年底更新。厂商将会在2023年实行证书撤销机制。
Philips同时建议实施缓解措施:物理隔离Philips患者监控网络与医院局域网,并使用适当的安全措施,限制对该患者监控网络的访问;确保只有在需要注册新设备时才运行简单证书注册协议(SCEP)服务;以及在使用SCEP注册新设备时使用独特的长密码。
并且,应通过物理安全控制(服务器应存放在上锁的数据中心)防止对PIC iX应用程序的未授权登录企图,仅应在必须具备的情况下授予对PIC iX服务器的远程访问权限;应仅基于角色和最少的权限授予可信用户对床边监护器和PIC iX应用程序的登录访问权限。
————————————————————————————————————–
消息来源Security Week;转载请注明出处。
来源:freebuf.com 2020-09-17 15:25:31 by: 偶然路过的围观群众
请登录后发表评论
注册