Los investigadores de seguridad informaron de varias vulnerabilidades en el portal de la plataforma de colaboración clínica de Philips.
Vulnerabilidades en el portal de la plataforma de colaboración clínica de Philips
las vulnerabilidades, 15 en total, podría usarse para tomar el control de dispositivos médicos. Según un aviso oficial de CISA, Las fallas se pueden explotar de forma remota en ataques de baja complejidad..
En términos de evaluación de riesgos, “La explotación exitosa de estas vulnerabilidades podría permitir que una persona o un proceso no autorizado escuche a escondidas, ver o modificar datos, obtener acceso al sistema, realizar ejecución de código, instalar software no autorizado, o afectar la integridad de los datos del sistema de tal manera que afecte negativamente la confidencialidad, integridad, o disponibilidad del sistema ".
Relacionado: 45 Millones de imágenes y registros médicos de libre acceso en línea
¿Qué es el portal de la plataforma de colaboración clínica de Philips?, conocido como Vue PACS? Poco dicho, la plataforma es una solución de análisis clínico sanitario. Se ven afectadas las siguientes versiones del producto:
- Vista PACS: Versiones 12.2.x.xy anteriores
- Vista de MyVue: Versiones 12.2.x.xy anteriores
- Vue Speech: Versiones 12.2.x.xy anteriores
- Vista de movimiento: versiones 12.2.1.5 y antes
Aquí hay una lista de vulnerabilidades., según el aviso oficial de CISA:
- CVE-2020-1938, lo que podría conducir a una validación de entrada incorrecta;
- CVE-2018-12326 y CVE-2018-11218, o restricción inadecuada de operaciones con los límites de un búfer de memoria;
- CVE-2020-4670, que causa una autenticación incorrecta;
- CVE-2018-8014, o inicialización predeterminada insegura del recurso;
- CVE-2021-33020, o uso de una clave pasada su fecha de vencimiento;
- CVE-2018-10115, o problemas de inicialización inadecuados;
- CVE-2021-27501, o adherencia inadecuada a los estándares de codificación;
- CVE-2021-33018, o el uso de algoritmos criptográficos de riesgo;
- CVE-2021-27497, o problemas relacionados con fallas del mecanismo de protección;
- CVE-2012-1708 que causa problemas de integridad de datos;
- CVE-2015-9251 que causa problemas de secuencias de comandos entre sitios;
- CVE-2021-27493 que puede provocar una neutralización inadecuada;
- CVE-2019-9636, o manejo inadecuado de la codificación Unicode;
- CVE-2021-33024 que podría dar lugar a credenciales insuficientemente protegidas;
- CVE-2021-33022 que podría causar la transmisión de texto sin cifrar de información sensible.
Cabe destacar que Philips informó todos los problemas a la Agencia de Infraestructura y Ciberseguridad. (CISA). Por último, no hay exploits públicos conocidos basados en ninguna de las vulnerabilidades.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: