【漏洞通告】飞利浦 Vue PACS 7月多个安全漏洞

admin 2021年8月6日08:07:26评论229 views字数 1673阅读5分34秒阅读模式

0x00 漏洞概述

2021年7月6日,美国网络安全和基础设施安全局(CISA) 发布安全公告,披露了飞利浦 Vue 医疗产品中的15个安全漏洞。这些漏洞会影响多款飞利浦临床医学协作平台门户 (Vue PACS)产品,包括 MyVue、Vue Speech 和 Vue Motion 等。

飞利浦Vue PACS属于公共医疗健康领域的基础设施。未经授权的攻击者可用利用这些漏洞执行任意代码、更改系统的预期控制流程、访问敏感信息或导致系统崩溃。

 

0x01 漏洞详情

【漏洞通告】飞利浦 Vue PACS 7月多个安全漏洞

在本次披露的15个漏洞中,绝大部分都可被远程利用,并且攻击复杂度低。此外,有部分漏洞存在于第三方组件中,详情如下:

CVE ID

描述

CVSS评分

是否远程利用

攻击复杂度

CVE-2020-1938

不正确的输入验证。

9.8

CVE-2018-12326、CVE-2018-11218

内存缓冲区范围内的操作限制不当。此漏洞存在于第三方软件组件 (Redis) 中。

9.8

CVE-2020-4670

认证错误。此漏洞存在于第三方软件组件 (Redis) 中。

9.8

CVE-2018-8014

资源的不安全默认初始化。

9.8

CVE-2021-33020

使用过期的密钥。

8.2

CVE-2018-10115

资源初始化不当。此漏洞存在于第三方软件组件 (7-Zip) 中。

7.8

CVE-2021-27501

不正确遵守编码标准。

7.5

CVE-2021-33018

使用损坏的或有风险的密码算法,可能会导致敏感信息暴露。

6.5

CVE-2021-27497

保护机制失效。

6.5

CVE-2012-1708

数据完整性问题。此漏洞存在于第三方软件组件(Oracle 数据库)中。

6.5

CVE-2015-9251

XSS

6.1

CVE-2021-27493

不能确保结构化消息或数据格式正确并满足某些安全属性。

6.1

CVE-2019-9636

当输入包含 Unicode 编码时,软件无法正确处理。

5.3

CVE-2021-33024

使用不安全的方法传输或存储身份验证凭证。

3.7

CVE-2021-33022

敏感信息明文传输。

7.5

 

影响范围

Vue PACS <= 12.2.xx

Vue MyVue <= 12.2.xx

Vue Speech <= 12.2.xx

Vue Motion <=12.2.1.5

 

0x02 处置建议

目前飞利浦已发布漏洞修复计划,建议参考CISA或飞利浦官方获取详细信息:

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.usa.philips.com/healthcare/about/customer-support/product-security

 

缓解措施

  • 尽量减少所有控制系统设备或系统在网络上暴露,并确保它们不能从 Internet 访问。

  • 将控制系统网络和远程设备置于防火墙之后,并将其与商业网络隔离。

  • 当需要远程访问时,使用安全的方法,如使用虚拟专用网络 (VPN),并确保 VPN更新到可用的最新版本。

 

0x03 参考链接

https://us-cert.cisa.gov/ics/advisories/icsma-21-187-01

https://www.philips.com/a-w/security/security-advisories.html#security_advisories

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33020

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-07-12

首次发布


0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 关于我们

关注以下公众号,获取更多资讯:

【漏洞通告】飞利浦 Vue PACS 7月多个安全漏洞  【漏洞通告】飞利浦 Vue PACS 7月多个安全漏洞

        

 

 


本文始发于微信公众号(维他命安全):【漏洞通告】飞利浦 Vue PACS 7月多个安全漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年8月6日08:07:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】飞利浦 Vue PACS 7月多个安全漏洞https://cn-sec.com/archives/420789.html

发表评论

匿名网友 填写信息