飞利浦多款医疗设备曝漏洞，涉胎儿监护仪

成功利用这些漏洞或致患者健康信息（PHI）泄露甚至数据完整性被破坏...

E安全6月9日讯 以色列医疗设备安全企业 Medigate、飞利浦和

ICS-CERT 陆续发布公告，披露飞利浦病人监护仪中存在严重的漏洞。受影响的设备包括飞利浦 IntelliVue MP 和 MX

系列、Avalon 胎儿监护仪（FM20、FM30、FM40和FM50）。

漏洞详情

Medigate 公司的研究人员在飞利浦上述设备中发现三个漏洞：

• Ÿ不正确的身份验证漏洞 CWE-287（CVE-2018-10597）：CVSS v3评分为8.3分，允许未经身份验证的攻击者访问内存并写入目标设备的内存。
• Ÿ基于堆栈的缓冲区溢出漏洞 CWE-121（CVE-2018-10601）：CVSS v3评分为8.2分，会暴露“回声”服务，缓冲区被复制到堆栈而没有经过边界检查，这可能允许远程执行代码。
• Ÿ信息泄露漏洞 CWE-200（CVE-2018-10599）：CVSS v3评分为6.4分，允许未经身份验证的攻击者读取目标设备的内存。

Medigate 公司指出，这些漏洞允许未经身份验证的远程攻击者在设备上写入内存，这可能会允许远程代码执行操作。成功利用这些漏洞可能会让攻击者读取和/或写入内存引发拒绝服务问题；或致患者健康信息（PHI）泄露甚至数据完整性被破坏。

飞利浦公司在安全公告中指出，利用这些漏洞需具备丰富的技术知识和技能，以及托管受影响设备的局域网的访问权限，并且表示目前尚未收到关于漏洞利用的报告，也未发现专门针对这些漏洞的公开利用代码。

飞利浦预计将在2018年第二季度或第三季度发布补丁。与此同时，飞利浦建议用户了解降低风险的安全和网络配置指南。

具体的缓解措施请参考：https://ics-cert.us-cert.gov/advisories/ICSMA-18-156-01

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/903606205.shtml

推荐阅读：

• Natus脑电图医疗设备曝多个高危漏洞
• 威胁生命：10余款医疗设备存在高危漏洞
• 物联网带动医疗服务升级：六大原则守护网路安全
• 中加双重国籍知识产权律师被指控窃取美国公司下一代医疗机器人技术
• 西门子医疗扫描仪存在多项漏洞可被远程利用
• 医疗保健行业的CISO在当前安全形势下如何强化自身？
• 70余款设备易受 VPNFilter 攻击，华为、中兴的路由器在列

▼点击“阅读原文” 查看更多精彩内容

    关注 E安全