飞利浦的 IntelliSpace 心血管医疗数据管理产品线中存在一个漏洞,可导致权限提升和任意代码执行问题,导致攻击者嗅探患者的所有机密信息,包括医疗图像和完整的诊断详情。

上周,ICS-CERT 发布安全警告称,对 ISCV/Xcelera 服务器拥有本地访问权限的攻击者能够利用该缺陷获取管理员权限并打开含有认证用户拥有写入权限的可执行文件的文件夹。这就导致恶意人员执行信息提取恶意软件、后门、勒索软件或其它恶意代码。恶意人员还能转向网络的其它部分,如果系统未被正确分区的话。

虽然漏洞造成的损害不止于患者的隐私问题,但利用该漏洞能访问的数据规模引人注目。ISCV 是一种综合信息管理软件,供医药人员维护患者的心血管门诊信息,包括心血管图片文件等。飞利浦在网站上表示,包括“心脏病学时间轴”(患者心血管护理连续体的全景年代概览)。

ISCV 还能启动第三方应用程序,提供“系统、患者、和研究系列级别”的信息,说明潜在的数据泄露范围要比 ISCV 更大。

该漏洞 (CVE-2018-14787)  CVSS 评分为7.3,属于中危漏洞。尽管技能要求较低,漏洞遭利用可造成严重的隐私侵犯问题,但要成功利用,要求攻击者首先拥有对软件的本地网络权限,这就要求利用其它漏洞或拥有合法用户的地位。

受影响产品为 ISCV 版本3.1或更低版本以及 Xcelera 版本4.1 或更低版本。飞利浦表示将在201810月推出 ISCV 版本3.2,修复该漏洞。

用户应该采取基本的防护措施并采用网络隔离法缓解该漏洞问题,比如尽可能限制可用权限;最小化所有控制系统设备和/或系统的网络暴露;确保无法从互联网访问设备;定位防火墙背后的控制系统网络和远程设备(并让这些设备与业务网络隔离开来);在需要远程访问的情况下使用 VPN

ICS-CERT 表示,目前尚未发现漏洞遭利用的迹象。

本文由360代码卫士翻译自threatpost

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。