圖片來源: 

Zoll

美國政府昨日警告,知名醫療設備商Zoll的心臟急救設備有6項安全漏洞,可能導致駭客遠端執行指令等災難後果。

美國網路安全暨基礎架構安全署(CISA)警告,Zoll生產的體外除顫器(Defibrillator)管理設備儀表板軟體有6項漏洞,涵括不受限上傳危險檔案型態(CVE-2021-27489);使用寫死的加密金鑰(CVE-2021-27481);明文儲存敏感資訊(CVE-2021-27487)、跨網站指令碼(Cross-site Scripting,CVE-2021-27479)、以可復原格式儲存密碼(CVE-2021-27485)、以及權限管理不當(CVE-2021-27483)。成功開採這些漏洞,可能造成遠端程式碼執行,讓攻擊者取得登入帳密,或是關閉、破壞儀表板應用程式運作。

CISA稱是接獲匿名通報而得知這批漏洞。

Zoll的儀表板(Dashbard)產品是用於管理該公司體外除顫器的軟體。除顫器是在病患因心臟驟停的急救工具。這些漏洞影響Zoll體外除顫器儀表板軟體2.2版本以前所有版本。

6項漏洞中,又以第一項的CVE-2021-27489最為緊急,CVSS 3.1風險層級高達9.9(滿分10)。儀表板Web app允許非管理員上傳惡意檔案,可導致遠端執行任意指令。

至於何種檔案,CISA並未多做解釋,但The Register報導,Zoll的儀表板軟體可匯入微軟Excel檔案,或以Excel檔案格式匯出。而CVE-2021-27489可透過上傳隨機Excel檔案觸發。

Zoll已釋出儀表板最新版2.2版本解決這批漏洞。CISA也呼籲醫院或其他用戶儘速升級到最新版本。


熱門新聞

Advertisement