Zoll心脏电击器管理软件重大漏洞可上传Excel档执行恶意指令

美国-昨日警告，知名医疗设备商Zoll的心脏急救设备有6项安全漏洞，可能导致骇客远端执行指令等灾难后果。

美国网络安全暨基础架构安全署（CISA）警告，Zoll生产的体外除颤器（Defibrillator）管理设备仪表板软件有6项漏洞，涵括不受限上传危险档案型态（CVE-2021-27489）；使用写死的加密金钥（CVE-2021-27481）；明文储存敏感资讯（CVE-2021-27487）、跨网站指令码（Cross-site Scripting，CVE-2021-27479）、以可复原格式储存密码（CVE-2021-27485）、以及权限管理不当（CVE-2021-27483）。成功开采这些漏洞，可能造成远端程式码执行，让攻击者取得登入账密，或是关闭、破坏仪表板应用程序运作。

CISA称是接获匿名通报而得知这批漏洞。

Zoll的仪表板（Dashbard）产品是用于管理该公司体外除颤器的软件。除颤器是在病患因心脏骤停的急救工具。这些漏洞影响Zoll体外除颤器仪表板软件2.2版本以前所有版本。

6项漏洞中，又以第一项的CVE-2021-27489最为紧急，CVSS 3.1风险层级高达9.9（满分10）。仪表板Web app允许非管理员上传恶意档案，可导致远端执行任意指令。

至于何种档案，CISA并未多做解释，但The Register报导，Zoll的仪表板软件可汇入微软Excel档案，或以Excel档案格式汇出。而CVE-2021-27489可透过上传随机Excel档案触发。

Zoll已释出仪表板最新版2.2版本解决这批漏洞。CISA也呼吁医院或其他用户尽速升级到最新版本。