飞利浦IntelliSpace心血管系统(ISCV)产品中发现安全漏洞

  • A+
所属分类:网络安全新闻

飞利浦IntelliSpace心血管系统(ISCV)产品中发现安全漏洞

最新的医疗设备为患者监测和治疗提供了出色的技术应用。然而,由于漏洞,这些设备也威胁到患者的隐私和安全。最近,ICS-CERT(工业控制系统网络应急准备小组)发现了飞利浦IntelliSpace系统中的网络安全漏洞,这些漏洞允许攻击者访问系统并窃取患者信息。

飞利浦IntelliSpace心血管(ISCV)系列医疗数据管理产品中的一个漏洞将允许特权升级和任意代码执行——这为攻击者打开了吸取各种机密的患者信息的门户,包括医疗图像和完整的诊断细节。

根据上周发布的ICS-CERT 警报,具有ISCV / Xcelera本地服务器访问权限的攻击者可以使用该漏洞获取管理访问权限,并且从那里可以打开有可执行文件的文件夹,而经过身份验证的用户具有文件夹的录入权限。这将允许攻击者执行信息泄露的恶意软件、后门程序、勒索软件或他/她选择的任何其他类型的恶意代码。如果系统未正确分区,他/她也可以转向网络的其他部分。

尽管潜在的损害并未仅限于暴露患者的隐私,但该漏洞所能提供的数据量是值得关注的。ICSV是一种综合信息管理软件,医疗人员使用该软件来维护患者的心血管临床信息,包括心脏成像文件。根据飞利浦网站的说法,软件特色包括“心脏病学时间表”,它提供了“患者心血管护理连续性的全览年表”。

ISCV还能够启动第三方应用程序,提供有关“系统,患者,研究和系列级别”的相关信息,这意味着潜在的数据暴露量可能比ISCV本身所拥有的更大。

漏洞(CVE-2018-14787)的基本CVSS评分为7.3分,属于中等严重缺陷。这是因为尽管在严重侵犯隐私的情况下使用它只需要较低的技术水平,但要想成功利用漏洞还需要攻击者拥有对软件的本地网络访问权限——这将要求利用其他漏洞(或合法用户的身份)。受影响的产品是ISCV 3.1或更早版本,Xcelera 4.1或更早版本。飞利浦称,补丁将与ISCV 3.2版本于2018年10月一并推出。

在ISCV 3.2版本可以应用之前,用户可采取的临时缓解策略如下:尽可能限制可用的权限;最小化所有控制系统设备和系统的网络暴露;确保无关人员不能从互联网上访问;在防火墙后定位控制系统网络和远程设备(并将它们与业务网络隔离);需要远程访问时使用vpn。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!