Sicherheitsforscher meldeten mehrere Schwachstellen im Philips Clinical Collaboration Platform Portal.
Schwachstellen im Philips Clinical Collaboration Platform Portal
die Sicherheitslücken, 15 in Summe, könnte verwendet werden, um die Kontrolle über medizinische Geräte zu übernehmen. Laut einem offiziellen KAG-Gutachten, die Schwachstellen können bei Angriffen mit geringer Komplexität aus der Ferne ausgenutzt werden.
In Bezug auf die Risikobewertung, „Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte es einer nicht autorisierten Person oder einem nicht autorisierten Prozess ermöglichen, abzuhören“, Daten anzeigen oder ändern, Systemzugriff erhalten, Codeausführung durchführen, nicht autorisierte Software installieren, oder die Integrität der Systemdaten so beeinträchtigen, dass die Vertraulichkeit beeinträchtigt wird, Integrität, oder Verfügbarkeit des Systems.“
verbunden: 45 Millionen medizinische Bilder und Aufzeichnungen, die online frei zugänglich sind
Was ist das Philips Clinical Collaboration Platform Portal Platform, bekannt als Vue PACS? Kurz gesagt, Die Plattform ist eine klinische Analyselösung für das Gesundheitswesen. Betroffen sind die folgenden Versionen des Produkts:
- PACS-Ansicht: Versionen 12.2.x.x und früher
- MyVue-Ansicht: Versionen 12.2.x.x und früher
- Vue-Rede: Versionen 12.2.x.x und früher
- Bewegungsansicht: Versionen 12.2.1.5 und vor
Hier ist eine Liste der Sicherheitslücken, gem die offizielle KAG-Beratung:
- CVE-2020-1938, was zu einer falschen Eingabevalidierung führen könnte;
- CVE-2018-12326 und CVE-2018-11218, oder unsachgemäße Einschränkung von Operationen mit den Grenzen eines Speicherpuffers;
- CVE-2020-4670, was zu einer falschen Authentifizierung führt;
- CVE-2018-8014, oder unsichere Standardinitialisierung der Ressource;
- CVE-2021-33020, oder Verwendung eines Schlüssels nach seinem Ablaufdatum;
- CVE-2018-10115, oder Probleme mit der falschen Initialisierung;
- CVE-2021-27501, oder unsachgemäße Einhaltung von Codierungsstandards;
- CVE-2021-33018, oder die Verwendung riskanter kryptografischer Algorithmen;
- CVE-2021-27497, oder Probleme im Zusammenhang mit Ausfällen von Schutzmechanismen;
- CVE-2012-1708, das Datenintegritätsprobleme verursacht;
- CVE-2015-9251, das Cross-Site-Scripting-Probleme verursacht;
- CVE-2021-27493, was zu einer unsachgemäßen Neutralisation führen kann;
- CVE-2019-9636, oder unsachgemäßer Umgang mit Unicode-Codierung;
- CVE-2021-33024, was zu unzureichend geschützten Anmeldeinformationen führen könnte;
- CVE-2021-33022, die eine Klartextübertragung sensibler Informationen verursachen könnte.
Es ist bemerkenswert, dass Philips alle Probleme der Cybersecurity and Infrastructure Agency gemeldet hat (CISA). Schließlich, Es sind keine öffentlichen Exploits bekannt, die auf einer der Schwachstellen basieren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: