近日，飛利浦臨床協作平臺門戶（又名 Vue PACS）中披露了多個安全漏洞，其中一些漏洞可能被攻擊者利用來控制受影響的系統。

知名網路安全專家、東方聯盟創始人郭盛華透露：“黑客成功利用這些漏洞可能允許未經授權的人或程序竊聽、檢視或修改資料、獲得系統訪問許可權、執行程式碼、安裝未經授權的軟體或影響系統資料完整性，從而對機密性、完整性產生負面影響或系統的可用性。“

15個缺陷影響：

VUE 圖片存檔和通訊系統（版本 12.2.xx 及更早版本），

Vue MyVue（12.2.xx 及更早版本），

Vue Speech（版本 12.2.xx 及更早版本），以及

Vue Motion（12.2.1.5 及更早版本）

其中四個問題（CVE-2020-1938、CVE-2018-12326、CVE-2018-11218、CVE-2020-4670 和 CVE-2018-8014）的通用漏洞評分系統 (CVSS) 基本得分為9.8，並關注輸入資料的不當驗證以及先前在 Redis 中修補的缺陷引入的漏洞。

另一個嚴重缺陷（CVE-2021-33020，CVSS 評分：8.2）是由 Vue 平臺使用超過其既定到期日期的加密金鑰引起的，“這通過增加破解對該金鑰的攻擊的時間視窗來顯著降低其安全性。”

其他弱點包括使用損壞或有風險的加密演算法 (CVE-2021-33018)、處理使用者可控輸入時的跨站點指令碼攻擊 (CVE-2015-9251)、保護身份驗證憑據的不安全方法 (CVE-2021) -33024)、不正確或不正確的資源初始化 (CVE-2018-8014) 以及不遵循編碼標準 (CVE-2021-27501) 可能會增加其他漏洞的嚴重性。

防止資料洩露

雖然飛利浦已在 2020 年 6 月和 2021 年 5 月釋出的更新中解決了一些缺點，但預計這家荷蘭醫療保健公司將修補目前正在開發和開發的 Speech、MyVue 和 PACS 15 版中的其餘安全問題。定於 2022 年第一季度釋出。（歡迎轉載分享）