飛利浦心血管儀器軟體爆任意程式碼執行漏洞，恐洩露病患資訊

美國國土安全部旗下的工業控制系統網路緊急應變小組（ICS-CERT）周二警告，飛利浦IntelliSpace Cardiovascular心血管影像及資訊管理系統出現兩項漏洞，可能導致任意程式碼執行，進而讓外人竊取醫療影像及病患診斷資料。

根據ICS-CERT的安全公告，編號CVE-2018-14787的漏洞影響IntelliSpace Cardiovascular系統2.x及之前版本，及伺服器軟體Xcelera 4.1以前的版本。飛利浦安全公告指出，在上述版本的伺服器上包含20項Windows服務，其可執行檔位於駭客具有寫入權限的資料夾。這些Windows服務可以本機管理員帳號執行，一旦有人將之置換成惡意程式，則該惡意程式也能以本機管理員帳號或系統權限執行。更糟的是，一個技術普通的攻擊者就能開採本項漏洞。該漏洞CVSS v3 基準分7.3分，屬於高度風險漏洞。

第二項漏洞CVE-2018-14789則是不帶引號搜尋路徑或element漏洞（unquoted search path or element vulnerability）。受本漏洞影響的產品為IntelliSpace Cardiovascular系統3.1及之前版本，及伺服器軟體Xcelera 4.1以前的版本。在這些伺服器上，有16項Windows服務路徑名稱不帶括號。由於這些服務是以本機管理員權限執行，並以機碼開頭，因此路徑能讓攻擊者植入有本機管理員權限的可執行檔。本漏洞CVSS v3 基準分4.2分，屬於中度風險漏洞。

成功開採上述兩項漏洞都能讓攻擊者取得管理員權限，進而開啟包含可執行檔的資料夾，這時攻擊者即可執行後門、木馬等任意程式碼，包括竄改、取得或刪除病患診斷資料或醫學影像。不過飛利浦表示，攻擊者需為經驗證的使用者，並需能本機存取ISCV/Xcelera伺服器。但預設狀態下，只有管理員才有本機存取的權限。

飛利浦預計10月釋出IntelliSpace Cardiovascular 3.2.0更新版加以修補，屆時客戶會經平日的服務和經銷通路取得更新。