美国政府警告:西门子医疗扫描设备存在多处漏洞

简介: 本文讲的是美国政府警告:西门子医疗扫描设备存在多处漏洞,近日,据外媒报道称,德国西门子医疗扫描设备存在高风险漏洞,允许未经身份验证的黑客在设备上执行任意恶意代码。
本文讲的是 美国政府警告:西门子医疗扫描设备存在多处漏洞

美国政府警告:西门子医疗扫描设备存在多处漏洞

近日,据外媒报道称,德国西门子医疗扫描设备存在高风险漏洞,允许未经身份验证的黑客在设备上执行任意恶意代码。

这些远程访问安全漏洞潜伏在运行Microsoft Windows 7的所有西门子正电子发射断层显像和X线计算机体层成像(PET-CT)扫描设备中。PET-CT设备是一种将 PET(功能代谢显像)和CT(解剖结构显像) 两种先进的影像技术有机地结合在一起的新型的影像设备。

它是将微量的正电子核素示踪剂注射到人体内,然后采用特殊的体外探测仪(PET)探测这些正电子核素人体各脏器的分布情况,通过计算机断层显像的方法显示人体的主要器官的生理代谢功能,同时应用 CT 技术为这些核素分布情况进行精确定位,使这台机器同时具有 PET 和 CT 的优点,发挥出各自的最大优势。

美国国土安全局上周四(8月3日)发布警告称,这些设备中的漏洞是非常容易被恶意攻击者利用的,“只要具备较低技能的攻击者就能够利用这些漏洞”。这是因为虽然西门子硬件上运行的Microsoft和Persistent Systems代码漏洞早在2年前就已经发布修复补丁,但西门子医疗设备仍然继续运行在存在漏洞的 Windows 7 系统上,给恶意攻击者留下来可乘之机。

美国国土安全部工业控制系统网络应急响应小组(ICS-CERT)表示:

西门子已经确定了在Windows 7系统上运行的分子影像产品中的4个安全漏洞。攻击者可以远程利用这些漏洞在设备上执行恶意代码。目前,该公司正在为受影响的产品加紧研发修补程序。

在这4项漏洞中,有3项漏洞CVE-2015-1497、CVE-2015-7860、CVE-2015-7861影响HP终端自动化服务,CVE-2015-1635影响Windows 7系统,它们都能让未经授权的远端攻击者发送特制请求,进而执行任意恶意代码,影响系统安全性。此外,需要强调的是,4项漏洞的CVSS Base Score(CVSS基准分)皆为9.8。

以下是4项安全漏洞的详细信息:

● CVE-2015-1635:微软已经在其2015年的web服务器代码中完成了修复。该漏洞允许未经身份验证的远程攻击者通过端口 80 或 443 发送特制请求,使服务器崩溃,或通过有效地在内核中执行任意代码,实现操纵设备的目的。受影响的西门子设备使用该web服务器通过网络提供用户界面。

● CVE-2015-1497: 同样在2015年,Persistent Systems已经在其HP客户端自动化服务中完成了修复,该软件现在名为“Radia客户端自动化软件”。该漏洞允许未经身份验证的远程攻击者通过向端口 3465发送特制请求来执行任意代码。

● CVE-2015-7860、 CVE-2015-7861:HP Radia自动化服务器中存在的远程可利用漏洞,这两项漏洞也同样已经在2015年发布了修复程序。

ICS-CERT补充道:

目前,西门子正在为受影响的医疗设备研发更新程序。在修补完成之前,建议医院使用适当的机制来对分子成像产品的网络访问进行保护;建议尽量能让装置连网和公开网际网络切开,将设备运行在专用网段中;保护医疗设备所处的 IT 环境;甚至在不影响病患安全及治疗前提下不要连网。

其实,被业界合称为GPS的通用(GE)、飞利浦(Philips)以及西门子(Siemens)三家跨国企业,一直在CT、核磁共振、核医学等多类大型医疗设备中长期占据龙头地位,市场份额超过80%,而频频爆出安全漏洞的西门子设备,着实令人担忧医疗安全的未来。




原文发布时间为:2017年8月9日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
4月前
|
安全 测试技术 数据库
RC 漏洞挖掘:开发厂商.(批量通杀)(教育漏洞报告平台)
RC 漏洞挖掘:开发厂商.(批量通杀)(教育漏洞报告平台)
94 2
|
安全 网络安全
赛门铁克未署名诺顿安全更新 防火墙警报引混乱
赛门铁克日前对旧版的Norton产品发布一项未注明身份和来源的安全更新,结果引发使用者的防火墙警报。 这项安全更新是针对2006年和2007年版Norton Internet Security及Norton Antivirus的"PFST.exe"程序。
1043 0
|
安全 数据安全/隐私保护
趋势科技警告:CAN标准存在漏洞,联网汽车可被远程操控
本文讲的是趋势科技警告:CAN标准存在漏洞,联网汽车可被远程操控,事实上,最近几年研究人员和工程师已经找到了很多种入侵现代互联网汽车的方法,并且被记录和报告过多次。查理·米勒和克里斯·瓦拉斯克(Chris Valasek)就曾发现过一个杰出的案例。
1546 0
|
安全 物联网 物联网安全
美国政府拟立法改进物联网安全:禁止硬编码密码、已知漏洞必须修复
本文讲的是美国政府拟立法改进物联网安全:禁止硬编码密码、已知漏洞必须修复,美国参议院四位参议员Warner、Gardner、Wyden和Daines最近提交一项名为《物联网安全改进法案》(the Internet of Things Cybersecurity Improvement Act of 2017,简称IoT-CIA)的草拟法案,旨在加强物联网厂商对设备安全性的投入。
1404 0
|
安全 网络安全
工控危险 施耐德PLC产品现高危漏洞
本文讲的是工控危险 施耐德PLC产品现高危漏洞,施耐德电气公司开始发布固件补丁处理影响该公司莫迪康(Modicon)M340可编程逻辑控制器(PLC)产品线的高严重性漏洞。
1713 0
|
安全 网络架构
曼迪安特警告:思科商业路由固件被感染
本文讲的是曼迪安特警告:思科商业路由固件被感染,路由器正常固件被恶意代码感染了的固件代替已不再是理论上的概念,曼迪安特(Mandiant)的研究人员检测到了真实世界的攻击,他们在四个国家发现了被植入恶意固件的商业路由器。
1460 0