近日，据外媒报道称，德国西门子医疗扫描设备存在高风险漏洞，允许未经身份验证的黑客在设备上执行任意恶意代码。

这些远程访问安全漏洞潜伏在运行Microsoft Windows 7的所有西门子正电子发射断层显像和X线计算机体层成像（PET-CT）扫描设备中。PET-CT设备是一种将 PET（功能代谢显像）和CT（解剖结构显像） 两种先进的影像技术有机地结合在一起的新型的影像设备。

它是将微量的正电子核素示踪剂注射到人体内，然后采用特殊的体外探测仪（PET）探测这些正电子核素人体各脏器的分布情况，通过计算机断层显像的方法显示人体的主要器官的生理代谢功能，同时应用 CT 技术为这些核素分布情况进行精确定位，使这台机器同时具有 PET 和 CT 的优点，发挥出各自的最大优势。

美国国土安全局上周四（8月3日）发布警告称，这些设备中的漏洞是非常容易被恶意攻击者利用的，“只要具备较低技能的攻击者就能够利用这些漏洞”。这是因为虽然西门子硬件上运行的Microsoft和Persistent Systems代码漏洞早在2年前就已经发布修复补丁，但西门子医疗设备仍然继续运行在存在漏洞的 Windows 7 系统上，给恶意攻击者留下来可乘之机。

美国国土安全部工业控制系统网络应急响应小组（ICS-CERT）表示：

西门子已经确定了在Windows 7系统上运行的分子影像产品中的4个安全漏洞。攻击者可以远程利用这些漏洞在设备上执行恶意代码。目前，该公司正在为受影响的产品加紧研发修补程序。

在这4项漏洞中，有3项漏洞CVE-2015-1497、CVE-2015-7860、CVE-2015-7861影响HP终端自动化服务，CVE-2015-1635影响Windows 7系统，它们都能让未经授权的远端攻击者发送特制请求，进而执行任意恶意代码，影响系统安全性。此外，需要强调的是，4项漏洞的CVSS Base Score（CVSS基准分）皆为9.8。

以下是4项安全漏洞的详细信息：

● CVE-2015-1635：微软已经在其2015年的web服务器代码中完成了修复。该漏洞允许未经身份验证的远程攻击者通过端口 80 或 443 发送特制请求，使服务器崩溃，或通过有效地在内核中执行任意代码，实现操纵设备的目的。受影响的西门子设备使用该web服务器通过网络提供用户界面。

● CVE-2015-1497: 同样在2015年，Persistent Systems已经在其HP客户端自动化服务中完成了修复，该软件现在名为“Radia客户端自动化软件”。该漏洞允许未经身份验证的远程攻击者通过向端口 3465发送特制请求来执行任意代码。

● CVE-2015-7860、 CVE-2015-7861：HP Radia自动化服务器中存在的远程可利用漏洞，这两项漏洞也同样已经在2015年发布了修复程序。

ICS-CERT补充道：

目前，西门子正在为受影响的医疗设备研发更新程序。在修补完成之前，建议医院使用适当的机制来对分子成像产品的网络访问进行保护；建议尽量能让装置连网和公开网际网络切开，将设备运行在专用网段中；保护医疗设备所处的 IT 环境；甚至在不影响病患安全及治疗前提下不要连网。

其实，被业界合称为GPS的通用（GE）、飞利浦（Philips）以及西门子（Siemens）三家跨国企业，一直在CT、核磁共振、核医学等多类大型医疗设备中长期占据龙头地位，市场份额超过80%，而频频爆出安全漏洞的西门子设备，着实令人担忧医疗安全的未来。

查看西门子安全公告