飞利浦 Vue PACS 诊断平台属于公共医疗健康领域的基础设施。
近日,我应急团队监测到飞利浦发布了Vue PACS诊疗平台的多个安全漏洞,攻击者通过这些漏洞极易获得患者敏感信息以及影响医疗过程,极易造成严重危害;漏洞详情如下:
CVE-2021-33020 安全配置漏洞
组件: Vue PACS,Vue MyVue,Vue Speech,Vue Motion
漏洞类型: 安全配置
影响: 敏感信息泄漏;信息伪造
简述: 飞利浦Vue PACS诊疗平台仍在使用过期的安全密钥,这导致攻击者可以利用以往被泄漏的密钥针对现有的系统发起攻击
CVE-2021-27501 安全配置漏洞
组件: Vue Motion,Vue PACS,Vue MyVue,Vue Speech
漏洞类型: 安全配置
影响: 代码执行;服务器接管
简述: 飞利浦Vue PACS诊疗平台的代码未遵循代码安全规则,导致攻击者可以利用这些代码逻辑错误对平台实施攻击
CVE-2021-33018 安全配置漏洞
组件: Vue Speech,Vue Motion,Vue MyVue,Vue PACS
漏洞类型: 安全配置
影响: 敏感信息泄漏;信息伪造
简述: 飞利浦Vue PACS诊疗平台仍在使用存在安全隐患的加密算法,这导致攻击者可以利用针对加密算法的漏洞对平台发起攻击
CVE-2021-27497 安全防护缺陷漏洞
组件: Vue Motion,Vue PACS,Vue Speech,Vue MyVue
漏洞类型: 安全防护缺陷
影响: 系统中缺乏基础安全防护能力;服务器接管
简述: 飞利浦Vue PACS诊疗平台在安全性上存在重大隐患,其未使用充分的安全措施来保障平台的正确运行。
CVE-2021-27493 数据未校验漏洞
组件: Vue PACS,Vue Motion,Vue MyVue,Vue Speech
漏洞类型: 数据未校验
影响: 执行非预期功能
简述: 飞利浦Vue PACS诊疗平台在接受数据时,未针对数据进行严格的字段校验,导致不受信任、危险的数据在平台内部流转。攻击者通过构造特制的请求包可在平台上执行非预期的功能。
CVE-2021-33024 身份信息明文传输漏洞
组件: Vue Speech,Vue MyVue,Vue Motion,Vue PACS
漏洞类型: 身份信息未加密
影响: 身份信息泄漏
简述: 飞利浦Vue PACS诊疗平台在传输以及存储身份凭证时,使用了不安全的方式(未加密)。导致攻击者通过嗅探、拦截网络流量可直接获得平台相关身份凭据,并借此登录平台实施进一步攻击
CVE-2021-33022 明文传输漏洞
组件: Vue Motion,Vue PACS,Vue Speech,Vue MyVue
漏洞类型: 明文传输
影响: 敏感信息泄漏
简述: 飞利浦Vue PACS诊疗平台在通信过程中以明文形式传输敏感或安全关键数据,未经授权的攻击者可以在互联网中嗅探到该数据中的详细信息。
【受影响版本】
Philips Vue PACS 12.2.x.x
Philips Vue MyVue 12.2.x.x
Philips:Vue Speech 12.2.x.x
Philips:Vue Motion 12.2.1.5
评论已关闭。