飞利浦心血管仪器软件爆任意程式码执行漏洞，恐泄露病患资讯

美国国土安全部旗下的工业控制系统网络紧急应变小组（ICS-CERT）周二警告，飞利浦IntelliSpace Cardiovascular心血管影像及资讯管理系统出现两项漏洞，可能导致任意程式码执行，进而让外人窃取医疗影像及病患诊断资料。

根据ICS-CERT的安全公告，编号CVE-2018-14787的漏洞影响IntelliSpace Cardiovascular系统2.x及之前版本，及服务器软件Xcelera 4.1以前的版本。飞利浦安全公告指出，在上述版本的服务器上包含20项Windows服务，其可执行档位于骇客具有写入权限的资料夹。这些Windows服务可以本机管理员账号执行，一旦有人将之置换成恶意程式，则该恶意程式也能以本机管理员账号或系统权限执行。更糟的是，一个技术普通的攻击者就能开采本项漏洞。该漏洞CVSS v3 基准分7.3分，属于高度风险漏洞。

第二项漏洞CVE-2018-14789则是不带引号搜寻路径或element漏洞（unquoted search path or element vulnerability）。受本漏洞影响的产品为IntelliSpace Cardiovascular系统3.1及之前版本，及服务器软件Xcelera 4.1以前的版本。在这些服务器上，有16项Windows服务路径名称不带括号。由于这些服务是以本机管理员权限执行，并以机码开头，因此路径能让攻击者植入有本机管理员权限的可执行档。本漏洞CVSS v3 基准分4.2分，属于中度风险漏洞。

成功开采上述两项漏洞都能让攻击者取得管理员权限，进而开启包含可执行档的资料夹，这时攻击者即可执行后门、木马等任意程式码，包括窜改、取得或删除病患诊断资料或医学影像。不过飞利浦表示，攻击者需为经验证的使用者，并需能本机存取ISCV/Xcelera服务器。但预设状态下，只有管理员才有本机存取的权限。

飞利浦预计10月释出IntelliSpace Cardiovascular 3.2.0更新版加以修补，届时客户会经平日的服务和经销通路取得更新。