飞利浦Vue PACS医疗成像系统报告的严重缺陷

Philips Clinical Collaboration Platform Portal（又名Vue PACS）中暴露了多个安全漏洞，其中一些漏洞可能被对手利用来控制受影响的系统。

“成功利用这些漏洞可使未经授权的人员或进程窃听、查看或修改数据、获取系统访问权限、执行代码执行、安装未经授权的软件，或影响系统数据完整性，从而对系统的机密性、完整性或可用性产生负面影响，”美国。网络安全和基础设施安全局（CISA）在一份咨询报告中指出。

15个缺陷的影响：

• VUE图片存档和通信系统（版本12.2.x.x及之前版本），
• MyVue视图（12.2.x.x及更早版本），
• Vue语音（版本12.2.x.x及之前版本），以及
• 视图运动（版本12.2.1.5和更早版本）

其中四个问题（CVE-2020-1938、CVE-2018-12326、CVE-2018-11218、CVE-2020-4670和CVE-2018-8014）的通用漏洞评分系统（CVSS）基本得分为9.8，涉及输入数据的不当验证，以及之前在Redis中修补的缺陷引入的漏洞。

另一个严重缺陷（CVE-2021-33020，CVSS分数：8.2）是由Vue平台在其确定的过期日期之后使用加密密钥造成的，“这通过增加破解该密钥攻击的时间窗口，显著降低了其安全性。”

其他弱点包括使用损坏或有风险的加密算法（CVE-2021-33018）、处理用户可控输入时的跨站点脚本攻击（CVE-2015-9251）、保护身份验证凭据的不安全方法（CVE-2021-33024）、不正确或不正确的资源初始化（CVE-2018-8014），以及未能遵守编码标准（CVE-2021-27501），这可能会增加其他漏洞的严重性。

虽然飞利浦已经解决了一些缺点，作为其更新在2020年6月和2021年5月发货的一部分，荷兰医疗保健公司预计将修补其余的安全问题在版本15的语音，MyVue，和PACS，目前正在开发和设置释放在Q1 2022。

在此期间，CISA敦促各实体尽量减少所有控制系统设备的网络暴露，并确保无法从互联网访问这些设备，对控制系统网络和防火墙后的远程设备进行分段，并使用虚拟专用网络（VPN）进行安全远程访问。