菲利普斯揭示了心血管设备中的代码执行漏洞
分类:科技云 热度:

商圣科技12月08日消息:
利用这些漏洞只需要很低的技能。

在多个版本的飞利浦心血管成像设备中发现了漏洞。
 
根据美国国土安全部ICS-CERT 的安全建议,第一个漏洞CVE-2018-14787是一个高严重性缺陷,影响飞利浦IntelliSpace心血管和Xcelera IntelliSpace心血管(ISCV)产品。
 
该通报称,该漏洞仅利用“低级技能”进行利用,并且是由不正当的权限管理引起的。
 
在ISCV软件版本2.x或之前版本和Xcelera版本4.1或更早版本中,具有升级权限的攻击者能够访问可能包含可执行文件的文件夹,这些文件为经过身份验证的用户提供了写入权限。
 
“这些漏洞的成功利用可能允许具有本地访问权限的攻击者和ISCV / Xcelera服务器的用户权限升级ISCV / Xcelera服务器上的权限并执行任意代码,”该咨询说。
 
第二个漏洞CVE-2018-14789影响ISCV版本3.1或之前版本以及Xcelera版本4.1或之前版本。不带引号的搜索路径允许攻击者提升其权限级别并执行任意代码。
 
在飞利浦企业安全公告中,该公司表示,ISCV 2.x版及更早版本和Xcelera 3x-4.x服务器包含20个Windows服务,其中可执行文件存在于一个文件夹中,在该文件夹中,经过身份验证的用户被授予写入权限。
 
“这些服务作为本地管理员帐户或本地系统帐户运行,如果用户要用其他程序替换其中一个可执行文件,该程序也将使用本地管理员或本地系统权限执行,”飞利浦补充道。
 
在ISCV版本3.x及更早版本和Xcelera 3.x - 4.x中,有16个Windows服务在路径名中没有引号。
 
这些服务使用本地管理员权限运行,并且可以使用注册表项启动,这可能会为攻击者提供一个放置可执行文件的途径,该可执行文件授予本地管理员权限。
 
这些漏洞无法远程利用,也没有收到任何表明在野外开采的报告。
 
将通过计划于10月发布的补丁来应用缓解措施。与此同时,飞利浦表示,用户应“尽可能”限制可用权限。
 
“飞利浦认识到我们的医疗保健,个人健康以及家庭消费产品和服务的安全性对我们的客户至关重要,”该公司表示。“飞利浦率先制定了协调漏洞披露政策,与客户,安全研究人员,监管机构和其他机构合作,以安全有效的方式帮助主动识别,解决和披露潜在漏洞。”
 
我们不能忽视医疗设备的安全漏洞。如图所示,当美国食品和药物管理局(FDA)强制召回465,000名St. Jude起搏器以修补它们时,此类系统中的错误可能会导致患者焦虑 - 甚至可能会使他们的设备完全停止工作。
 
 
IOActive咨询服务总监丹尼尔·米斯勒(Daniel Miessler)告诉ZDNet,在医疗设备中实施适当的安全措施时,FDA只不过是“ 无牙之龙 ”。
 
也许现在是医疗设备制造商遵守更严格的安全标准的时候了。


转载请注明: http://www.ygpy.net/kjy/2018/0821/2043.html
上一篇:最新WordPress高危漏洞 可能会使无数的WordPress被攻击
猜你喜欢
热门排行
精彩图文