Sikkerhedsforskere rapporterede om flere sårbarheder i Philips Clinical Collaboration Platform Portal.
Sårbarheder i Philips Portal for klinisk samarbejdsplatform
sårbarhederne, 15 i alt, kunne bruges til at tage kontrol over medicinsk udstyr. Ifølge en officiel CISA-rådgivning, fejlene kan udnyttes eksternt i angreb med lav kompleksitet.
Med hensyn til risikovurdering, “Vellykket udnyttelse af disse sårbarheder kan gøre det muligt for en uautoriseret person eller proces at aflytte, få vist eller rediger data, få systemadgang, udføre kodeudførelse, installer uautoriseret software, eller påvirke systemdataintegriteten på en sådan måde, at den påvirker fortroligheden negativt, integritet, eller tilgængelighed af systemet. ”
Relaterede: 45 Millioner af medicinske billeder og optegnelser frit tilgængelige online
Hvad er Philips Clinical Collaboration Platform Portal, kendt som Vue PACS? Kort sagt, platformen er en klinisk analytisk løsning til sundhedspleje. Berørte er følgende versioner af produktet:
- PACS-visning: Versioner 12.2.x.x og tidligere
- MyVue-visning: Versioner 12.2.x.x og tidligere
- Vue-tale: Versioner 12.2.x.x og tidligere
- Bevægelsesbillede: versioner 12.2.1.5 og tidligere
Her er en liste over sårbarhederne, som pr den officielle CISA-rådgivning:
- CVE-2020-1938, hvilket kan føre til forkert validering af input;
- CVE-2018-12326 og CVE-2018-11218, eller forkert begrænsning af operationer med grænserne for en hukommelsesbuffer;
- CVE-2020-4670, hvilket forårsager forkert godkendelse;
- CVE-2018-8014, eller usikker standardinitialisering af ressourcen;
- CVE-2021-33020, eller brug af en nøgle efter udløbsdatoen;
- CVE-2018-10115, eller forkert initialiseringsproblemer;
- CVE-2021-27501, eller forkert overholdelse af kodningsstandarder;
- CVE-2021-33018, eller brugen af risikabel kryptografisk algoritme;
- CVE-2021-27497, eller problemer i forbindelse med fejl i beskyttelsesmekanismen;
- CVE-2012-1708, som forårsager problemer med dataintegritet;
- CVE-2015-9251, som forårsager scripting-problemer på tværs af websteder;
- CVE-2021-27493, som kan føre til forkert neutralisering;
- CVE-2019-9636, eller forkert håndtering af Unicode-kodning;
- CVE-2021-33024, hvilket kan føre til utilstrækkeligt beskyttede legitimationsoplysninger;
- CVE-2021-33022, som kan forårsage overførsel af klar tekst af følsomme oplysninger.
Det er bemærkelsesværdigt, at Philips rapporterede alle problemerne til Cybersecurity and Infrastructure Agency (CISA). Endelig, der er ingen kendt offentlig udnyttelse baseret på nogen af sårbarhederne.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: