信息來源:E安全
據(jù)外媒 8 月 4 日報道,全球領(lǐng)先科技企業(yè)西門子與美國工業(yè)控制系統(tǒng)網(wǎng)絡應急團隊 ICS-CERT 近期聯(lián)合發(fā)布一份安全報告���,指出運行 Windows 7 系統(tǒng)的西門子正電子發(fā)射斷層顯像 / X 線計算機體層成像掃描設備(PET/CT)因未及時更新���,存在 2015 年就已發(fā)布修復補丁的四處安全漏洞���,能夠允許遠程����、未經(jīng)身份驗證的黑客執(zhí)行任意代碼���。
PET/CT 是一款新型醫(yī)療影像設備����,用于檢測腦部腫瘤分子成像���。醫(yī)療人員通過注入病人體內(nèi)的放射性示蹤劑選擇性檢測組織器官的代謝情況���, 即主要從分子水平上反映人體組織的生理、病理���、生化及代謝等改變���, 尤其適合人體生理功能方面的研究。
目前���,西門子已證實其醫(yī)療設備存在以下四處安全漏洞:
-
CVE-2015-1635(CVSS 基準分:9.8):允許未經(jīng)身份驗證的黑客通過端口 80 或 443 發(fā)送特殊的 HTTP 請求���,以執(zhí)行任意代碼達到操控設備的目的���。
-
CVE-2015-1497(CVSS 基準分:9.8):允許未經(jīng)身份驗證的黑客通過端口 3465 向惠普客戶端發(fā)送自動化服務。
-
CVE-2015-7860(CVSS 基準分:9.8):允許未經(jīng)身份驗證的黑客通過向 Windows 服務器上的 WebDAV 服務發(fā)送特殊的 HTTP 請求���,遠程執(zhí)行任意代碼���、破壞系統(tǒng)完整性并導致服務器處于宕機狀態(tài)。
-
CVE-2015-7861(CVSS 基準分:9.8):允許黑客無需獲取本地訪問權(quán)限遠程破壞系統(tǒng)設備����。
美國國土安全部門表示,雖然上述漏洞兩年前就已發(fā)布修復補丁���,但西門子醫(yī)療設備仍持續(xù)運行存在漏洞的 Windows 7 系統(tǒng)����,任意一位黑客都能利用此漏洞劫持或遠程操控該聯(lián)網(wǎng)設備���。
目前���,西門子正對受影響的醫(yī)療設備進行更新。與此同時,安全專家建議各醫(yī)療機構(gòu)使用適當機制限制網(wǎng)絡訪問權(quán)限并保護該醫(yī)療設備所處的 IT 環(huán)境����。
