Les chercheurs en sécurité ont signalé plusieurs vulnérabilités dans le portail de la plate-forme de collaboration clinique Philips.
Vulnérabilités du portail de la plateforme de collaboration clinique Philips
les vulnérabilités, 15 au total, pourrait être utilisé pour prendre le contrôle des dispositifs médicaux. Selon un avis officiel de la CISA, les failles peuvent être exploitées à distance dans des attaques de faible complexité.
En termes d'évaluation des risques, « une exploitation réussie de ces vulnérabilités pourrait permettre à une personne ou à un processus non autorisé d'écouter, afficher ou modifier des données, accéder au système, exécuter l'exécution du code, installer un logiciel non autorisé, ou affecter l'intégrité des données du système de manière à avoir un impact négatif sur la confidentialité, intégrité, ou la disponibilité du système.
en relation: 45 Des millions d'images et de dossiers médicaux librement accessibles en ligne
Qu'est-ce que le portail de la plateforme de collaboration clinique Philips, connu sous le nom de Vue PACS? Peu dit, la plate-forme est une solution d'analyse clinique des soins de santé. Les versions suivantes du produit sont concernées:
- Vue PACS: Versions 12.2.x.x et antérieures
- Vue MyVue: Versions 12.2.x.x et antérieures
- Discours de vue: Versions 12.2.x.x et antérieures
- Vue Motion: versions 12.2.1.5 et avant
Voici une liste des vulnérabilités, comme par l'avis officiel de la CISA:
- CVE-2020-1938, ce qui pourrait conduire à une validation incorrecte des entrées;
- CVE-2018-12326 et CVE-2018-11218, ou restriction inappropriée des opérations avec les limites d'une mémoire tampon;
- CVE-2020-4670, ce qui provoque une authentification incorrecte;
- CVE-2018-8014, ou initialisation par défaut non sécurisée de la ressource;
- CVE-2021-33020, ou utilisation d'une clé après sa date d'expiration;
- CVE-2018-10115, ou des problèmes d'initialisation incorrects;
- CVE-2021-27501, ou un mauvais respect des normes de codage;
- CVE-2021-33018, ou l'utilisation d'algorithmes cryptographiques risqués;
- CVE-2021-27497, ou des problèmes liés aux défaillances du mécanisme de protection;
- CVE-2012-1708 qui provoque des problèmes d'intégrité des données;
- CVE-2015-9251 qui provoque des problèmes de script inter-sites;
- CVE-2021-27493 pouvant conduire à une neutralisation inappropriée;
- CVE-2019-9636, ou une mauvaise gestion du codage Unicode;
- CVE-2021-33024 qui pourrait conduire à des identifiants insuffisamment protégés;
- CVE-2021-33022 qui pourrait entraîner la transmission en texte clair d'informations sensibles.
Il est à noter que Philips a signalé tous les problèmes à la Cybersecurity and Infrastructure Agency (CISA). Enfin, il n'y a pas d'exploits publics connus basés sur l'une des vulnérabilités.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: