医学影像工程师社区
专注影像设备维修技术交流与分享

飞利浦心血管成像设备中发现软件漏洞

美国国土安全部关于医疗保健软件漏洞的公告再次引发了新闻。根据美国国土安全部ICS-CERT的安全建议,最新的软件漏洞涉及飞利浦IntelliSpace心血管和Xcelera IntelliSpace心血管(ISCV)产品。 

根据安全机构报告CVE-2018-14787,是一个权限管理问题。在飞利浦的IntelliSpace心血管(ISCV)产品(ISCV版本2.x或之前版本和Xcelera版本4.1或更早版本)中,“具有升级权限的攻击者(包含经过身份验证的用户)可以访问,具有写入权限的可执行文件的文件夹,然后可以执行任意代码,具有本地管理权限,“该公告称,”成功利用这些漏洞可能允许具有本地访问权限的攻击者和ISCV/Xcelera服务器的用户权限升级服务器上的权限并执行任意代码。“ 

该公告称,在CVE-2018-14789中宣布的第二个弱点是ISCV版本3.1或之前版本以及Xcelera版本4.1或更早版本,并指出“已经确定了一个未加引号的搜索路径或元素漏洞,这可能允许攻击者执行任意代码并提升他们的权限级别。“ 

飞利浦在一份安全公告中回应说”确认客户提交的投诉的结果“是关于ISCV版本2.x及更早版本和Xcelera 3x – 4.x的服务器20个Windows服务,其中可执行文件存在于已授予经过身份验证的用户写入权限的文件夹中。 “这些服务作为本地管理员帐户或本地系统帐户运行,如果用户用其他程序替换其中一个可执行文件,该程序也将使用本地管理员或本地系统权限执行,”飞利浦建议道。 它还建议,“在ISCV版本3.x及更早版本和Xcelera 3.x – 4.x中,有16个Windows服务在路径名中没有引号。 “这些服务使用本地管理员权限运行,并且可以使用注册表项启动,可能会为攻击者提供一个可以放置授予本地管理员权限的可执行文件的途径。” 

一个针对10月发布的新补丁应该解决这些问题,同时,公司敦促用户“在可能的情况下”限制权限。 “飞利浦认识到我们的医疗保健,个人健康以及家庭消费产品和服务的安全性对我们的客户来说至关重要,”该公司表示。“飞利浦率先制定了协调漏洞披露政策,与客户,安全研究人员,监管机构和其他机构合作,帮助以安全有效的方式主动识别,解决和披露潜在漏洞。” 

4月,关于飞利浦iSite和IntelliSpace以及Alice 6多导睡眠图系统公布了相关建议。该机构在其通知中表示,系统中的缺陷可能会让黑客“损害患者的机密性,系统完整性和/或系统可用性”。 对于Alice 6系统,该公司已经“识别出硬编码凭证和明文存储以及患者个人健康信息漏洞的传输”,并表示,它已经“更新了产品文档,并将发布一个新版本,以缓解这些漏洞“ 

为解决这些问题,当时飞利浦建议用户可以选择三种免费升级措施: 

  • 注册飞利浦重复修补程序,这将弥补所有已知漏洞的86%。 

  • 注册公司的补丁程序并更新系统固件。这使修复率提高到所有已知漏洞的87%,包括所有已知的严重漏洞。 

  • 最大程度的保护:前两个选项,以及使用Windows操作系统2012升级到IntelliSpace PACS 4.4.55x的更新,它解决了产品强化问题。这将修复率提高到所有已知漏洞的99.9%,包括所有关键漏洞。

( 2 )
分享到:更多 ()

评论 抢沙发

评论前必须登录!