新闻快讯
< >

飞利浦多款医疗设备曝漏洞,涉胎儿监护仪

E安全6月9日讯 以色列医疗设备安全企业 Medigate、飞利浦和 ICS-CERT 陆续发布公告,披露飞利浦病人监护仪中存在严重的漏洞。受影响的设备包括飞利浦 IntelliVue MP 和 MX 系列、Avalon 胎儿监护仪(FM20、FM30、FM40和FM50)。

飞利浦胎儿监护仪多款医疗监护仪被曝漏洞-E安全

漏洞详情

Medigate 公司的研究人员在飞利浦上述设备中发现三个漏洞:

  • Ÿ不正确的身份验证漏洞 CWE-287(CVE-2018-10597):CVSS v3评分为8.3分,允许未经身份验证的攻击者访问内存并写入目标设备的内存。

  • Ÿ基于堆栈的缓冲区溢出漏洞 CWE-121(CVE-2018-10601):CVSS v3评分为8.2分,会暴露“回声”服务,缓冲区被复制到堆栈而没有经过边界检查,这可能允许远程执行代码。

  • Ÿ信息泄露漏洞 CWE-200(CVE-2018-10599):CVSS v3评分为6.4分,允许未经身份验证的攻击者读取目标设备的内存。

Medigate 指出,这些漏洞允许未经身份验证的远程攻击者在设备上写入内存,这可能会允许远程代码执行操作。成功利用这些漏洞可能会让攻击者读取和/或写入内存引发拒绝服务问题;或致患者健康信息(PHI)泄露甚至破坏患者数据的完整性。

飞利浦公司在安全公告中指出,利用这些漏洞需具备丰富的技术知识和技能,以及托管受影响设备的局域网的访问权限,并且表示目前尚未收到关于漏洞利用的报告,也未发现专门针对这些漏洞的公开利用代码。

飞利浦预计将在2018年第二季度和第三季度发布补丁。与此同时,飞利浦建议用户了解降低风险的安全和网络配置指南。

具体的缓解措施请参考https://ics-cert.us-cert.gov/advisories/ICSMA-18-156-01

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。