【漏洞通告】飞利浦 Vue PACS 7月多个安全漏洞

0x00 漏洞概述

2021年7月6日，美国网络安全和基础设施安全局(CISA) 发布安全公告，披露了飞利浦 Vue 医疗产品中的15个安全漏洞。这些漏洞会影响多款飞利浦临床医学协作平台门户 (Vue PACS）产品，包括 MyVue、Vue Speech 和 Vue Motion 等。

飞利浦Vue PACS属于公共医疗健康领域的基础设施。未经授权的攻击者可用利用这些漏洞执行任意代码、更改系统的预期控制流程、访问敏感信息或导致系统崩溃。

0x01 漏洞详情

在本次披露的15个漏洞中，绝大部分都可被远程利用，并且攻击复杂度低。此外，有部分漏洞存在于第三方组件中，详情如下：

影响范围

Vue PACS <= 12.2.xx

Vue MyVue <= 12.2.xx

Vue Speech <= 12.2.xx

Vue Motion <=12.2.1.5

0x02 处置建议

目前飞利浦已发布漏洞修复计划，建议参考CISA或飞利浦官方获取详细信息：

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.usa.philips.com/healthcare/about/customer-support/product-security

缓解措施

• 尽量减少所有控制系统设备或系统在网络上暴露，并确保它们不能从 Internet 访问。

• 将控制系统网络和远程设备置于防火墙之后，并将其与商业网络隔离。

• 当需要远程访问时，使用安全的方法，如使用虚拟专用网络 (VPN)，并确保 VPN更新到可用的最新版本。

0x03 参考链接

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.philips.com/a-w/security/security-advisories.html#security_advisories

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33020

0x04 更新版本

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于我们

关注以下公众号，获取更多资讯：

本文始发于微信公众号（维他命安全）：【漏洞通告】飞利浦 Vue PACS 7月多个安全漏洞