I ricercatori della sicurezza hanno segnalato diverse vulnerabilità nel portale della piattaforma di collaborazione clinica Philips.
Vulnerabilità nel portale della piattaforma di collaborazione clinica Philips
le vulnerabilità, 15 in totale, potrebbe essere utilizzato per prendere il controllo dei dispositivi medici. Secondo un advisory ufficiale della CISA, le falle possono essere sfruttate da remoto in attacchi a bassa complessità.
In termini di valutazione del rischio, "Il successo dello sfruttamento di queste vulnerabilità potrebbe consentire a una persona o a un processo non autorizzati di intercettare", visualizzare o modificare i dati, ottenere l'accesso al sistema, eseguire l'esecuzione del codice, installare software non autorizzato, o pregiudicare l'integrità dei dati del sistema in modo tale da avere un impatto negativo sulla riservatezza, integrità, o disponibilità del sistema.”
Correlata: 45 Milioni di immagini e documenti medici liberamente accessibili online
Che cos'è il portale della piattaforma di collaborazione clinica Philips?, noto come Vue PACS? Poco detto, la piattaforma è una soluzione di analisi clinica sanitaria. Sono interessate le seguenti versioni del prodotto:
- Vista PACS: Versioni 12.2.x.x e precedenti
- Vista MyVue: Versioni 12.2.x.x e precedenti
- Vue Discorso: Versioni 12.2.x.x e precedenti
- Vista in movimento: versioni 12.2.1.5 e prima
Ecco un elenco delle vulnerabilità, secondo l'advisory ufficiale CISA:
- CVE-2020-1938, che potrebbe portare a un'errata convalida dell'input;
- CVE-2018-12326 e CVE-2018-11218, o restrizione impropria delle operazioni con i limiti di un buffer di memoria;
- CVE-2020-4670, che causa un'autenticazione impropria;
- CVE-2018-8014, o inizializzazione predefinita non sicura della risorsa;
- CVE-2021-33020, o utilizzo di una chiave oltre la data di scadenza;
- CVE-2018-10115, o problemi di inizializzazione impropria;
- CVE-2021-27501, o aderenza impropria agli standard di codifica;
- CVE-2021-33018, o l'uso di algoritmi crittografici rischiosi;
- CVE-2021-27497, o problemi relativi a guasti del meccanismo di protezione;
- CVE-2012-1708 che causa problemi di integrità dei dati;
- CVE-2015-9251 che causa problemi di scripting tra siti;
- CVE-2021-27493 che può portare a una neutralizzazione impropria;
- CVE-2019-9636, o manipolazione impropria della codifica Unicode;
- CVE-2021-33024 che potrebbe portare a credenziali non sufficientemente protette;
- CVE-2021-33022 che potrebbe causare la trasmissione in chiaro di informazioni sensibili.
È interessante notare che Philips ha segnalato tutti i problemi alla Cybersecurity and Infrastructure Agency (CISA). Infine, non sono noti exploit pubblici basati su nessuna delle vulnerabilità.