安全厂商发现,Canon Medical用于显示及分享X光片、MRI等医疗图片的软件Vitrea View出现可能导致病患敏感资料遭人访问的漏洞。Canon已经于4月发布更新软件。
Trustwave Spiderlabs两名研究人员Jordan Hedges及Avery Warddhana近日发现2项位于Canon Medical Vitrea View软件的漏洞。Vitrea View是利用DICOM标准读取医疗图片的工具,一旦遭开采,可让攻击者得以访问病患资讯,并且利用这软件访问相关多项系统。
研究人员发现两项反射式跨网站脚本(Reflected Cross-site scripting,XSS)漏洞,但合称为CVE-2022-37461。
安全公司Vitalimages说明,这项反射式XSS漏洞有2种攻击法,分别为授权前(pre-authorization)及授权后(post-authorization)攻击,两种手法中,攻击者都会撰写一个指向Vitrea View软件的恶意URL,而授权后攻击还需要以社交工程诱骗或要求Vitrea View用户点击恶意URL。一旦用户点击URL,攻击者就可在用户浏览器执行恶意脚本程序,将合法用户的cookies借由有漏洞Vitrea View所在网站/服务器,回传给黑客。
Trustwave发现到的漏洞分别位于错误消息页及Vitrea View管理控制台。其中,利用Vitrea View管理控制台漏洞,一旦管理员点击URL,攻击者就能创建和修改Vitrea View应用程序使用的Python、JavaScript和Groovy script。
这个漏洞影响Vitrea View 7.x版,经过通报后,Canon Medical已经在今年4月发布Vitrea View 7.7.6版。研究人员建议用户尽快升级到最新版。
但Canon Medical说明,Canon Medical其他软件包括Vitrea Advanced Visualization、Vitrea Read、Vitrea Connection,以及Canon Medical用来创建医疗图片的软件,如X光扫描、MRI扫描仪等不受漏洞影响。