报告编号：B6-2021-071201

报告来源：360CERT

报告作者：360CERT

更新日期：2021-07-12

0x01   漏洞简述

2021年07月12日，360CERT监测发现飞利浦发布了Vue PACS诊疗平台的多个安全漏洞通告，漏洞编号为CVE-2021-33020等，漏洞等级：严重，漏洞评分：9.8。

飞利浦 Vue PACS 诊断平台属于公共医疗健康领域的基础设施，该平台中存在多个可远程攻击利用的高危漏洞，影响范围广泛，攻击者通过这些漏洞极易获得患者敏感信息以及影响医疗过程，极易造成严重危害。

对此，360CERT建议广大用户及时将飞利浦Vue PACS诊疗平台升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02   风险等级

360CERT对该漏洞的评定结果如下

0x03   漏洞详情

CVE-2021-33020: 安全配置漏洞

CVE: CVE-2021-33020

组件: Vue PACS,Vue MyVue,Vue Speech,Vue Motion

漏洞类型: 安全配置

影响: 敏感信息泄漏；信息伪造

简述: 飞利浦Vue PACS诊疗平台仍在使用过期的安全密钥，这导致攻击者可以利用以往被泄漏的密钥针对现有的系统发起攻击

CVE-2021-27501: 安全配置漏洞

CVE: CVE-2021-27501

组件: Vue Motion,Vue PACS,Vue MyVue,Vue Speech

漏洞类型: 安全配置

影响: 代码执行；服务器接管

简述: 飞利浦Vue PACS诊疗平台的代码未遵循代码安全规则，导致攻击者可以利用这些代码逻辑错误对平台实施攻击

CVE-2021-33018: 安全配置漏洞

CVE: CVE-2021-33018

组件: Vue Speech,Vue Motion,Vue MyVue,Vue PACS

漏洞类型: 安全配置

影响: 敏感信息泄漏；信息伪造

简述: 飞利浦Vue PACS诊疗平台仍在使用存在安全隐患的加密算法，这导致攻击者可以利用针对加密算法的漏洞对平台发起攻击

CVE-2021-27497: 安全防护缺陷漏洞

CVE: CVE-2021-27497

组件: Vue Motion,Vue PACS,Vue Speech,Vue MyVue

漏洞类型: 安全防护缺陷

影响: 系统中缺乏基础安全防护能力；服务器接管

简述: 飞利浦Vue PACS诊疗平台在安全性上存在重大隐患，其未使用充分的安全措施来保障平台的正确运行。

CVE-2021-27493: 数据未校验漏洞

CVE: CVE-2021-27493

组件: Vue PACS,Vue Motion,Vue MyVue,Vue Speech

漏洞类型: 数据未校验

影响: 执行非预期功能

简述: 飞利浦Vue PACS诊疗平台在接受数据时，未针对数据进行严格的字段校验，导致不受信任、危险的数据在平台内部流转。攻击者通过构造特制的请求包可在平台上执行非预期的功能。

CVE-2021-33024: 身份信息明文传输漏洞

CVE: CVE-2021-33024

组件: Vue Speech,Vue MyVue,Vue Motion,Vue PACS

漏洞类型: 身份信息未加密

影响: 身份信息泄漏

简述: 飞利浦Vue PACS诊疗平台在传输以及存储身份凭证时，使用了不安全的方式（未加密）。导致攻击者通过嗅探、拦截网络流量可直接获得平台相关身份凭据，并借此登录平台实施进一步攻击

CVE-2021-33022: 明文传输漏洞

CVE: CVE-2021-33022

组件: Vue Motion,Vue PACS,Vue Speech,Vue MyVue

漏洞类型: 明文传输

影响: 敏感信息泄漏

简述: 飞利浦Vue PACS诊疗平台在通信过程中以明文形式传输敏感或安全关键数据，未经授权的攻击者可以在互联网中嗅探到该数据中的详细信息。

0x04   影响版本

0x05   修复建议

通用修补建议

飞利浦 Vue PACS诊疗平台 可通过联系飞利浦地区服务支持中心获得相关技术支持。

临时修补建议

- 及时开启飞利浦 Vue平台的自动更新功能

- 在安装更新后，断开飞利浦 Vue平台和互联网的连接，保证只能通过内部网络进行登录访问

- 使用防火墙隔离飞利浦 Vue平台，使其与个人终端互通受限

0x06   产品侧解决方案

​若想了解更多产品信息或有相关业务需求，可移步至http://360.net。

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn)，通过资产测绘技术的方式，对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀，其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台，实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测，请及时更新网络神经元（探针）规则和本地安全大脑关联分析规则，做好防护。

360终端安全管理系统

360终端安全管理系统软件是在360安全大脑极智赋能下，以大数据、云计算等新技术为支撑，以可靠服务为保障，集防病毒与终端安全管控功能于一体的企业级安全产品。

360终端安全管理系统已支持对相关漏洞进行检测和修复，建议用户及时更新漏洞库并安装更新相关补丁。

0x07   时间线

2021-06-29 飞利浦发布基础通告

2021-07-06 飞利浦发布正式通告

2021-07-12 360CERT发布通告

0x08   参考链接

1、 ICS Medical Advisory (ICSMA-21-187-01)

2、 飞利浦安全通告

0x09   特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ，并附上您的 公司名、姓名、手机号、地区、邮箱地址。