美国政府昨日警告,知名医疗设备商Zoll的心脏急救设备有6项安全漏洞,可能导致黑客远程执行指令等灾难后果。
美国网络安全暨基础架构安全局(CISA)警告,Zoll生产的体外除颤器(Defibrillator)管理设备仪表板软件有6项漏洞,涵盖不受限上传危险文件形态(CVE-2021-27489);使用写死的加密密钥(CVE-2021-27481);明文存储敏感信息(CVE-2021-27487)、跨网站脚本(Cross-site Scripting,CVE-2021- 27479)、以可恢复格式存储密码(CVE-2021-27485)、以及权限管理不当(CVE-2021-27483)。成功开采这些漏洞,可能造成远程程序代码执行,让攻击者取得登录帐密,或是关闭、破坏仪表板应用程序运行。
CISA称是接获匿名通报而得知这批漏洞。
Zoll的仪表板(Dashbard)产品是用于管理该公司体外除颤器的软件。除颤器是在病患因心脏骤停的急救工具。这些漏洞影响Zoll体外除颤器仪表板软件2.2版本以前所有版本。
6项漏洞中,又以第一项的CVE-2021-27489最为紧急,CVSS 3.1风险层级高达9.9(满分10)。仪表板Web app允许非管理员上传恶意文件,可导致远程执行任意指令。
至于何种文件,CISA并未多做解释,但The Register报道,Zoll的仪表板软件可导入微软Excel文件,或以Excel文件格式导出。而CVE-2021-27489可通过上传随机Excel文件触发。
Zoll已发布仪表板最新版2.2版本解决这批漏洞。CISA也呼吁医院或其他用户尽快升级到最新版本。