据外媒 8 月 4 日报道，全球领先科技企业西门子与美国工业控制系统 *** 应急团队 ICS-CERT 近期联合发布一份安全报告，指出运行 Windows 7 系统的西门子正电子发射断层显像 / X 线计算机体层成像扫描设备（PET/CT）因未及时更新，存在 2015 年就已发布修复补丁的四处安全漏洞，能够允许远程、未经身份验证的黑客执行任意代码。

PET/CT 是一款新型医疗影像设备，用于检测脑部肿瘤分子成像。医疗人员通过注入病人体内的放射性示踪剂选择性检测组织器官的代谢情况， 即主要从分子水平上反映人体组织的生理、病理、生化及代谢等改变， 尤其适合人体生理功能方面的研究。

目前，西门子已证实其医疗设备存在以下四处安全漏洞：

● CVE-2015-1635（CVSS 基准分：9.8）：允许未经身份验证的黑客通过端口 80 或 443 发送特殊的 HTTP 请求，以执行任意代码达到操控设备的目的。

● CVE-2015-1497（CVSS 基准分：9.8）: 允许未经身份验证的黑客通过端口 3465 向惠普客户端发送自动化服务。

● CVE-2015-7860（CVSS 基准分：9.8）：允许未经身份验证的黑客通过向 Windows 服务器上的 WebDAV 服务发送特殊的 HTTP 请求，远程执行任意代码、破坏系统完整性并导致服务器处于宕机状态。

● CVE-2015-7861（CVSS 基准分：9.8）：允许黑客无需获取本地访问权限远程破坏系统设备。

美国国土安全部门表示，虽然上述漏洞两年前就已发布修复补丁，但西门子医疗设备仍持续运行存在漏洞的 Windows 7 系统，任意一位黑客都能利用此漏洞劫持或远程操控该联网设备。

目前，西门子正对受影响的医疗设备进行更新。与此同时，安全专家建议各医疗机构使用适当机制限制 *** 访问权限并保护该医疗设备所处的 IT 环境。

原作者：Iain Thomson，译者：青楚
本文由 HackerNews.cc 翻译整理，封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。