信息來(lái)源:E安全
據(jù)外媒 8 月 4 日?qǐng)?bào)道��,全球領(lǐng)先科技企業(yè)西門子與美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急團(tuán)隊(duì) ICS-CERT 近期聯(lián)合發(fā)布一份安全報(bào)告���,指出運(yùn)行 Windows 7 系統(tǒng)的西門子正電子發(fā)射斷層顯像 / X 線計(jì)算機(jī)體層成像掃描設(shè)備(PET/CT)因未及時(shí)更新,存在 2015 年就已發(fā)布修復(fù)補(bǔ)丁的四處安全漏洞����,能夠允許遠(yuǎn)程、未經(jīng)身份驗(yàn)證的黑客執(zhí)行任意代碼���。
PET/CT 是一款新型醫(yī)療影像設(shè)備,用于檢測(cè)腦部腫瘤分子成像����。醫(yī)療人員通過(guò)注入病人體內(nèi)的放射性示蹤劑選擇性檢測(cè)組織器官的代謝情況, 即主要從分子水平上反映人體組織的生理�����、病理��、生化及代謝等改變, 尤其適合人體生理功能方面的研究��。
目前�,西門子已證實(shí)其醫(yī)療設(shè)備存在以下四處安全漏洞:
-
CVE-2015-1635(CVSS 基準(zhǔn)分:9.8):允許未經(jīng)身份驗(yàn)證的黑客通過(guò)端口 80 或 443 發(fā)送特殊的 HTTP 請(qǐng)求,以執(zhí)行任意代碼達(dá)到操控設(shè)備的目的��。
-
CVE-2015-1497(CVSS 基準(zhǔn)分:9.8):允許未經(jīng)身份驗(yàn)證的黑客通過(guò)端口 3465 向惠普客戶端發(fā)送自動(dòng)化服務(wù)���。
-
CVE-2015-7860(CVSS 基準(zhǔn)分:9.8):允許未經(jīng)身份驗(yàn)證的黑客通過(guò)向 Windows 服務(wù)器上的 WebDAV 服務(wù)發(fā)送特殊的 HTTP 請(qǐng)求�,遠(yuǎn)程執(zhí)行任意代碼����、破壞系統(tǒng)完整性并導(dǎo)致服務(wù)器處于宕機(jī)狀態(tài)。
-
CVE-2015-7861(CVSS 基準(zhǔn)分:9.8):允許黑客無(wú)需獲取本地訪問(wèn)權(quán)限遠(yuǎn)程破壞系統(tǒng)設(shè)備����。
美國(guó)國(guó)土安全部門表示,雖然上述漏洞兩年前就已發(fā)布修復(fù)補(bǔ)丁�,但西門子醫(yī)療設(shè)備仍持續(xù)運(yùn)行存在漏洞的 Windows 7 系統(tǒng),任意一位黑客都能利用此漏洞劫持或遠(yuǎn)程操控該聯(lián)網(wǎng)設(shè)備���。
目前��,西門子正對(duì)受影響的醫(yī)療設(shè)備進(jìn)行更新����。與此同時(shí),安全專家建議各醫(yī)療機(jī)構(gòu)使用適當(dāng)機(jī)制限制網(wǎng)絡(luò)訪問(wèn)權(quán)限并保護(hù)該醫(yī)療設(shè)備所處的 IT 環(huán)境�。
