Philips临床协作平台门户(又名Vue PACS)披露了多个安全漏洞,其中一些漏洞可能被对攻击者用来控制受影响的系统。
美国网络安全和基础设施安全局在一份报告中指出,成功利用这些漏洞可能允许未经授权的网络攻击者或进程窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件,或影响系统数据完整性,从而对机密性、完整性产生负面影响或影响系统的可用性。
可用性,”美国网络安全和基础设施安全局 (CISA)在一份咨询报告中指出。
15个缺陷影响:
VUE图片存档和通信系统(版本 12.2.xx 及更早版本),
Vue MyVue(12.2.xx 及更早版本),
Vue Speech(12.2.xx 及更早版本),以及
Vue Motion(12.2.1.5 及更早版本)
其中四个问题(CVE-2020-1938、CVE-2018-12326、CVE-2018-11218、CVE-2020-4670 和 CVE-2018-8014)的通用漏洞评分系统 (CVSS) 基本得分为9.8,并关注输入数据的不当验证以及先前在Redis中修补的缺陷引入的漏洞。
另一个严重缺陷(CVE-2021-33020,CVSS评分:8.2)是由Vue平台使用失效的加密密钥引起的,这通过增加破解对该密钥的攻击的时间窗口来显著降低其安全性。
其他漏洞包括:
使用损坏或有风险的加密算法(CVE-2021-33018)
处理用户可控输入时的跨站脚本攻击(CVE-2015-9251)
保护身份验证凭据的不安全方法(CVE-2021) -33024)
不正确或不正确的资源初始化(CVE-2018-8014)
以及不遵循编码标准(CVE-2021-27501)可能会增加其他漏洞的严重性。
虽然飞利浦在2020年6月和2021年5月发布的更新中解决了一些缺点,但预计这家荷兰医疗保健公司将修补目前正在开发和定于2022年第一季度发布。
在此期间,CISA敦促各机构尽量减少所有控制系统设备在网络环境中暴露,并确保无法从Internet、分段控制系统网络和防火墙之外的远程设备访问它们,并使用虚拟专用网络 (VPN)进行安全远程访问。
系统漏洞给网络犯罪分子提供很好的作案机会,但其实在软件开发初期就可以对漏洞进行检查并修复。由于大多数企业在开发软件过程中更多关注在软件功能性能上,而轻视了系统安全问题,这就导致一些软件在上线后再进行漏洞修复。这样不但会增加修改难度,若漏洞被利用而发生网络攻击,造成的经济损失无法计数。近几年RSA大会上不断出现DevsecOps这个主题,这也说明随着网络安全逐渐涉及各个领域,在软件开发周期中应尽早关注安全话题。在软件开发过程中适时引入静态代码检测、SCA、动态应用测试等自动化检测工具,可以在不影响软件开发效率的同时提高软件安全性。
参读链接:
https://thehackernews.com/2021/07/critical-flaws-reported-in-philips-vue.html
来源:freebuf.com 2021-07-12 12:01:21 by: 中科天齐软件安全中心
请登录后发表评论
注册