目录导航
飞利浦临床协作平台门户(又名 Vue PACS)中披露了多个安全漏洞,其中一些漏洞可能被攻击者利用来控制受影响的系统。
“成功利用这些漏洞可能允许未经授权的人或进程窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件或影响系统数据完整性,从而对机密性、完整性产生负面影响或系统的可用性,”美国网络安全和基础设施安全局 (CISA)在一份咨询报告中指出。
15个缺陷影响:
- VUE 图片存档和通信系统(版本 12.2.xx 及更早版本),
- Vue MyVue(12.2.xx 及更早版本),
- Vue Speech(版本 12.2.xx 及更早版本),以及
- Vue Motion(12.2.1.5 及更早版本)
其中四个问题(CVE-2020-1938、CVE-2018-12326、CVE-2018-11218、CVE-2020-4670 和 CVE-2018-8014)的通用漏洞评分系统 (CVSS) 基本得分为9.8,并关注输入数据的不当验证以及先前在 Redis 中修补的缺陷引入的漏洞。
另一个严重缺陷(CVE-2021-33020,CVSS 评分:8.2)是由 Vue 平台使用超过其既定到期日期的加密密钥引起的,“这通过增加破解对该密钥的攻击的时间窗口来显着降低其安全性。”
其他弱点包括使用损坏或有风险的加密算法 (CVE-2021-33018)、处理用户可控输入时的跨站点脚本攻击 (CVE-2015-9251)、保护身份验证凭据的不安全方法 (CVE-2021) -33024)、不正确或不正确的资源初始化 (CVE-2018-8014) 以及不遵循编码标准 (CVE-2021-27501) 可能会增加其他漏洞的严重性。
虽然飞利浦已在 2020 年 6 月和 2021 年 5 月发布的更新中解决了一些缺点,但预计这家荷兰医疗保健公司将修补目前正在开发的 Speech、MyVue 和 PACS 版本 15 中的其余安全问题。定于 2022 年第一季度发布。
在此期间,CISA 敦促实体将所有控制系统设备的网络暴露降至最低,并确保无法从 Internet、分段控制系统网络和防火墙后面的远程设备访问它们,并使用虚拟专用网络 (VPN) 进行安全远程访问.
CISA公告详情
1.执行摘要
- CVSS v3 9.8
- 注意:可远程利用/攻击复杂性低
- 供应商:飞利浦
- 设备: Vue PACS
- 漏洞:敏感信息的明文传输、内存缓冲区范围内的操作限制不当、输入验证不当、身份验证不当、初始化不当、使用损坏或有风险的加密算法、保护机制故障、使用过期的密钥日期、资源默认初始化不安全、Unicode 编码处理不当、凭据保护不足、数据完整性问题、跨站点脚本、不正确的中和、使用过时功能
2. 风险评估
成功利用这些漏洞可能允许未经授权的人员或进程窃听、查看或修改数据、获得系统访问权限、执行代码、安装未经授权的软件或影响系统数据完整性,从而对机密性、完整性、或系统的可用性。
3. 技术细节
3.1 受影响的产品
飞利浦报告这些漏洞影响以下 Vue PACS 产品:
- Vue PACS:12.2.xx 及更早版本
- Vue MyVue:12.2.xx 及更早版本
- Vue Speech:12.2.xx 及更早版本
- Vue Motion:12.2.1.5 及更早版本
3.2 漏洞概述
3.2.1 不正确的 输入验证 CWE-20
产品接收输入或数据,但它不会验证或错误地验证输入是否具有安全和正确处理数据所需的属性。
CVE-2020-1938已分配给此漏洞。
计算得出的 CVSS v3 基础分数为 9.8;
CVSS 向量字符串是 ( AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H )。
3.2.2 内存缓冲区 CWE-119 范围内的操作限制不当
该软件对内存缓冲区执行操作,但它可以读取或写入缓冲区预期边界之外的内存位置。此漏洞存在于第三方软件组件 (Redis) 中。
CVE-2018-12326和CVE-2018-11218已分配给此漏洞。
计算得出的 CVSS v3 基础分数为 9.8;
CVSS 向量字符串是 ( AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H )。
3.2.3 不正确的 认证 CWE-287
当参与者声称拥有给定的身份时,该软件无法证明或不足以证明该声明是正确的。此漏洞存在于第三方软件组件 (Redis) 中。
CVE-2020-4670已分配给此漏洞。
计算得出的 CVSS v3 基础分数为 9.8;
CVSS 向量字符串是 ( AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H )。
3.2.4 资源 CWE-1188 的不安全默认初始化
该软件初始化或设置一个默认值的资源,该默认值旨在由管理员更改,但默认值并不安全。
CVE-2018-8014已分配给此漏洞。
计算得出的 CVSS v3 基础分数为 9.8;
CVSS 向量字符串是 ( AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H )。
3.2.5 使用过期的密钥 CWE-324
该产品使用过期日期后的加密密钥或密码,这会增加破解对该密钥的攻击的时间窗口,从而显着降低其安全性。
CVE-2021-33020已分配给此漏洞。
计算得出的 CVSS v3 基础分数为 8.2;
CVSS 向量字符串是(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)。
3.2.6 初始化不当 CWE-665
软件不会初始化或错误地初始化资源,这可能会使资源在访问或使用时处于意外状态。此漏洞存在于第三方软件组件 (7-Zip) 中。
CVE-2018-10115已分配给此漏洞。
计算得出的 CVSS v3 基础分数为 7.8;
CVSS 向量字符串是 ( AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H )。
3.2.7 对编码标准 CWE-710 的不正确遵守
该软件不遵循特定的开发编码规则,这可能导致由此产生的弱点或增加相关漏洞的严重性。
CVE-2021-27501已分配给此漏洞。
计算得出的 CVSS v3 基础分数为 7.5;
CVSS 向量字符串是 ( AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H )。
3.2.8 使用损坏的或有风险的密码算法 CWE-327
使用损坏的或有风险的加密算法是一种不必要的风险,可能会导致敏感信息的暴露。
CVE-2021-33018已分配给此漏洞。
已计算出 CVSS v3 基本分数为 6.5;
CVSS 向量字符串是 ( AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N )。
3.2.9 保护机制失效 CWE-693
产品未使用或错误地使用保护机制来提供针对针对产品的定向攻击的充分防御。
CVE-2021-27497已分配给此漏洞。
已计算出 CVSS v3 基本分数为 6.5;
CVSS 向量字符串是 ( AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N )。
3.2.10 数据完整性问题 CWE-1214
此类别中的弱点与软件系统的数据完整性组件有关。此漏洞存在于第三方软件组件(Oracle 数据库)中。
CVE-2012-1708已分配给此漏洞。
已计算出 CVSS v3 基本分数为 6.5;
CVSS 向量字符串是(AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)。
3.2.11 跨站脚本 CWE-79
在将用户可控的输入放置在用作向其他用户提供的网页的输出中之前,该软件不会中和或错误地中和用户可控的输入。
CVE-2015-9251已分配给此漏洞。已计算出 CVSS v3 基本分数为 6.1;CVSS 向量字符串是(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)。
3.2.12 中和 不当 CWE-707
该产品不能确保或错误地确保结构化消息或数据格式正确,并且在从上游组件读取或发送到下游组件之前满足某些安全属性。
CVE-2021-27493已分配给此漏洞。
已计算出 CVSS v3 基本分数为 6.1;
CVSS 向量字符串是(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)。
3.2.13 Unicode 编码 CWE-176 处理不当
当输入包含 Unicode 编码时,软件无法正确处理。
CVE-2019-9636已分配给此漏洞。
已计算出 CVSS v3 基础分数为 5.3;
CVSS 向量字符串是(AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)。
3.2.14 未充分保护的凭证 CWE-522
该产品传输或存储身份验证凭证,但它使用一种不安全的方法,容易受到未经授权的拦截和/或检索。
CVE-2021-33024已分配给此漏洞。
已计算出 CVSS v3 基础分数为 3.7;
CVSS 向量字符串是(AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)。
3.2.15 敏感信息的明文传输 CWE-319
该软件在通信通道中以明文形式传输敏感或安全关键数据,未经授权的参与者可以嗅探到该数据。
CVE-2021-33022已分配给此漏洞。
计算得出的 CVSS v3 基础分数为 7.5;
CVSS 向量字符串是 ( AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H )。
3.3 背景
- 关键基础设施部门:医疗保健和公共卫生
- 部署的国家/地区:全球
- 公司总部所在地:荷兰
3.4 研究员
飞利浦向 CISA 报告了这些漏洞。
4. 缓解措施
飞利浦已发布以下计划来解决这些漏洞:
- 飞利浦建议根据 D00076344 – Incenter 上提供的 Vue_PACS_12_Ports_Protocols_Services_Guide 配置 Vue PACS 环境。
- 飞利浦于 2020 年 6 月为 MyVue 发布了版本 12.2.1.5,该版本修复了 CWE-693,并建议联系下面的支持。
- 飞利浦于 2020 年 6 月发布了 Vue Motion 版本 12.2.1.5,该版本修复了 CWE-324,并建议联系下面的支持人员。
- 飞利浦于 2021 年 5 月发布了 Speech 12.2.8.0 版本,该版本修复了 CWE-693、CWE-319、CWE-119、CWE-287 和 CWE-1214,并建议联系下方的支持人员。
- 飞利浦于 2021 年 5 月发布了 PACS 版本 12.2.8.0,该版本修复了 CWE-20、CWE-119、CWE-287,并建议联系下方的支持人员。
- 飞利浦将在 2022 年第一季度发布第 15 版,用于修复 CWE-665、CWE-327、CWE-710 的语音,并建议联系下面的支持。
- 飞利浦将在 2022 年第一季度为 MyVue 发布版本 15,该版本修复了 CWE-665,CWE-710 建议联系下面的支持人员。
- 飞利浦将于 2022 年第一季度发布适用于 PACS 的第 15 版,用于修复 CWE-79、CWE-693、CWE-665、CWE-1188、CWE-327、CWE-176、CWE-522、CWE-710 和 CWE-707 以及建议联系下面的支持。
发布受国家特定法规的约束。对其特定飞利浦 Vue PACS 安装和新版本资格有疑问的用户应联系飞利浦销售代表或在电子服务门户中提交报价请求,网址为:登录 – 电子服务 (philips.com)
提供飞利浦咨询,有关飞利浦产品的最新安全信息,请访问飞利浦产品安全网站。
CISA 建议用户采取防御措施,将利用此漏洞的风险降至最低。
具体来说,用户应该:
- 尽量减少所有控制系统设备和/或系统的网络暴露,并确保它们不能从 Internet 访问。
- 定位防火墙后面的控制系统网络和远程设备,并将它们与业务网络隔离。
- 当需要远程访问时,请使用安全方法,例如虚拟专用网络 (VPN),认识到 VPN 可能存在漏洞并应更新到可用的最新版本。还要认识到 VPN 仅与连接的设备一样安全。
CISA 提醒组织在部署防御措施之前进行适当的影响分析和风险评估。
CISA 还在us-cert.cisa.gov上的 ICS 网页上提供了控制系统安全推荐做法的 部分。一些推荐的实践可供阅读和下载,包括使用深度防御战略改进工业控制系统网络安全。
在 us-cert.cisa.gov上的ICS 网页上,技术信息文件ICS-TIP-12-146-01B-目标网络入侵检测和缓解策略中公开提供了其他缓解指南和推荐做法。
观察到任何可疑恶意活动的组织应遵循其既定的内部程序并将其发现报告给 CISA,以便跟踪和关联其他事件。
没有已知的公共漏洞专门针对这些漏洞。
联系信息
如有与本报告相关的任何问题,请联系 CISA:
电子邮件: [email protected]
免费电话:1-888-282-0870
对于工业控制系统网络安全信息:us-cert.cisa.gov/ics
或事件报告:us-cert.cisa.gov/report
CISA 不断努力改进其产品和服务。