交流评论、关注点赞

  • Facebook Icon脸书专页
  • telegram Icon翻墙交流电报群
  • telegram Icon电报频道
  • RSS订阅禁闻RSS/FEED订阅

飞利浦心血管仪器软件爆任意程序

2018年08月23日 4:17 PDF版 分享转发

Philips(图片来源:Wikimedia Commons作者: FDV)

Ad:美好不容错过,和家人朋友一起享受愉快时光,现在就订票

美国国土安全部旗下的,飞利浦IntelliSpace Cardiovascular影像及资讯管理系统出现两项漏洞,可能导致任意程式码执行,进而让外人窃取医疗影像及病患诊断资料。

根据ICS-CERT的安全公告,编号CVE-2018-14787的漏洞影响IntelliSpace Cardiovascular系统2.x及之前版本,及伺服器软体Xcelera4.1以前的版本。,在上述版本的伺服器上包含20项服务,其可执行档位于骇客具有写入权限的资料夹。这些Windows服务可以本机管理员帐号执行,一旦有人将之置换成恶意程式,则该恶意程式也能以本机管理员帐号或系统权限执行。更糟的是,一个技术普通的攻击者就能开采本项漏洞。该漏洞CVSS v3基准分7.3分,属于高度风险漏洞。

第二项漏洞CVE-2018-14789则是不带引号搜寻路径或element漏洞(unquoted search path or element vulnerability)。受本漏洞影响的产品为IntelliSpace Cardiovascular系统3.1及之前版本,及伺服器软体Xcelera4.1以前的版本。在这些伺服器上,有16项Windows服务路径名称不带括号。由于这些服务是以本机管理员权限执行,并以机码开头,因此路径能让攻击者植入有本机管理员权限的可执行档。本漏洞CVSS v3基准分4.2分,属于中度风险漏洞。

成功开采上述两项漏洞都能让攻击者取得管理员权限,进而开启包含可执行档的资料夹,这时攻击者即可执行后门、木马等任意程式码,包括窜改、取得或删除病患诊断资料或医学影像。不过飞利浦表示,攻击者需为经验证的使用者,并需能本机存取ISCV/Xcelera伺服器。但预设状态下,只有管理员才有本机存取的权限。

飞利浦预计10月释出IntelliSpace Cardiovascular3.2.0更新版加以修补,届时客户会经平日的服务和经销通路取得更新。

来源:生活志

喜欢、支持,请转发分享↓Follow Us 责任编辑:小婉