飞利浦医疗数据管理产品中被曝漏洞心脏病

聚焦源代码安全，网罗国内外最新资讯！

翻译：代码卫士团队

飞利浦的IntlliSpac心血管医疗数据管理产品线中存在一个漏洞，可导致权限提升和任意代码执行问题，导致攻击者嗅探患者的所有机密信息，包括医疗图像和完整的诊断详情。

上周，ICS-CERT发布安全警告称，对ISCV/Xclra服务器拥有本地访问权限的攻击者能够利用该缺陷获取管理员权限并打开含有认证用户拥有写入权限的可执行文件的文件夹。这就导致恶意人员执行信息提取恶意软件、后门、勒索软件或其它恶意代码。恶意人员还能转向网络的其它部分，如果系统未被正确分区的话。

虽然漏洞造成的损害不止于患者的隐私问题，但利用该漏洞能访问的数据规模引人注目。ISCV是一种综合信息管理软件，供医药人员维护患者的心血管门诊信息，包括心血管图片文件等。飞利浦在网站上表示，包括“心脏病学时间轴”（患者心血管护理连续体的全景年代概览）。

ISCV还能启动第三方应用程序，提供“系统、患者、和研究系列级别”的信息，说明潜在的数据泄露范围要比ISCV更大。

该漏洞(CVE--)的CVSS评分为7.3，属于中危漏洞。尽管技能要求较低，漏洞遭利用可造成严重的隐私侵犯问题，但要成功利用，要求攻击者首先拥有对软件的本地网络权限，这就要求利用其它漏洞或拥有合法用户的地位。

受影响产品为ISCV版本3.1或更低版本以及Xclra版本4.1或更低版本。飞利浦表示将在年10月推出ISCV版本3.2，修复该漏洞。

用户应该采取基本的防护措施并采用网络隔离法缓解该漏洞问题，比如尽可能限制可用权限；最小化所有控制系统设备和/或系统的网络暴露；确保无法从互联网访问设备；定位防火墙背后的控制系统网络和远程设备（并让这些设备与业务网络隔离开来）；在需要远程访问的情况下使用VPN。

ICS-CERT表示，目前尚未发现漏洞遭利用的迹象。

关联阅读

飞利浦病患监控设备中被曝多个严重漏洞

飞利浦健康产品中存在35个缺陷

原文链接