飛利浦多款醫療設備曝漏洞，涉胎兒監護儀

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全6月9日訊 以色列醫療設備安全企業 Medigate、飛利浦和 ICS-CERT 陸續發布公告，披露飛利浦病人監護儀中存在嚴重的漏洞。受影響的設備包括飛利浦 IntelliVue MP 和 MX 系列、Avalon 胎兒監護儀（FM20、FM30、FM40和FM50）。

漏洞詳情

Medigate 公司的研究人員在飛利浦上述設備中發現三個漏洞：

• ?不正確的身份驗證漏洞 CWE-287（CVE-2018-10597）：CVSS v3評分為8.3分，允許未經身份驗證的攻擊者訪問內存並寫入目標設備的內存。

• ?基於堆棧的緩衝區溢出漏洞 CWE-121（CVE-2018-10601）：CVSS v3評分為8.2分，會暴露「回聲」服務，緩衝區被複制到堆棧而沒有經過邊界檢查，這可能允許遠程執行代碼。

• ?信息泄露漏洞 CWE-200（CVE-2018-10599）：CVSS v3評分為6.4分，允許未經身份驗證的攻擊者讀取目標設備的內存。

Medigate 公司指出，這些漏洞允許未經身份驗證的遠程攻擊者在設備上寫入內存，這可能會允許遠程代碼執行操作。成功利用這些漏洞可能會讓攻擊者讀取和/或寫入內存引發拒絕服務問題；或致患者健康信息（PHI）泄露甚至數據完整性被破壞。

飛利浦公司在安全公告中指出，利用這些漏洞需具備豐富的技術知識和技能，以及託管受影響設備的區域網的訪問許可權，並且表示目前尚未收到關於漏洞利用的報告，也未發現專門針對這些漏洞的公開利用代碼。

飛利浦預計將在2018年第二季度或第三季度發布補丁。與此同時，飛利浦建議用戶了解降低風險的安全和網路配置指南。

具體的緩解措施請參考：https://ics-cert.us-cert.gov/advisories/ICSMA-18-156-01

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！