Beveiligingsonderzoekers meldden verschillende kwetsbaarheden in de Philips Clinical Collaboration Platform Portal.
Kwetsbaarheden in Philips Clinical Collaboration Platform Portal
de beveiligingslekken, 15 in totaal, kan worden gebruikt om de controle over medische apparaten over te nemen. Volgens een officieel CISA-advies, de fouten kunnen op afstand worden uitgebuit in aanvallen met een lage complexiteit.
In termen van risico-evaluatie, “succesvolle exploitatie van deze kwetsbaarheden kan een onbevoegd persoon of proces in staat stellen om mee te luisteren, gegevens bekijken of wijzigen, systeemtoegang verkrijgen, code-uitvoering uitvoeren, ongeautoriseerde software installeren install, of de integriteit van systeemgegevens zodanig beïnvloeden dat de vertrouwelijkheid negatief wordt beïnvloed, integriteit, of beschikbaarheid van het systeem.”
Verwant: 45 Miljoen medische afbeeldingen en dossiers gratis online toegankelijk
Wat is de Philips Clinical Collaboration Platform Portal?, bekend als Vue PACS? Kort gezegd, het platform is een oplossing voor klinische analyse in de gezondheidszorg. Dit betreft de volgende versies van het product::
- PACS-weergave: Versies 12.2.x.x en eerder
- MyVue-weergave: Versies 12.2.x.x en eerder
- Vue-toespraak: Versies 12.2.x.x en eerder
- Bewegingsweergave: versies 12.2.1.5 en vroeger
Hier is een lijst met de kwetsbaarheden, vanaf het officiële CISA-advies:
- CVE-2020-1938, wat kan leiden tot onjuiste invoervalidatie;
- CVE-2018-12326 en CVE-2018-11218, of onjuiste beperking van bewerkingen met de grenzen van een geheugenbuffer;
- CVE-2020-4670, die onjuiste authenticatie veroorzaakt;
- CVE-2018-8014, of onveilige standaardinitialisatie van resource;
- CVE-2021-33020, of gebruik van een sleutel na de vervaldatum;
- CVE-2018-10115, of onjuiste initialisatieproblemen;
- CVE-2021-27501, of onjuiste naleving van coderingsnormen;
- CVE-2021-33018, of het gebruik van een riskant cryptografisch algoritme;
- CVE-2021-27497, of problemen met betrekking tot storingen in het beveiligingsmechanisme;
- CVE-2012-1708 die problemen met gegevensintegriteit veroorzaakt;
- CVE-2015-9251 die cross-site scriptingproblemen veroorzaakt;
- CVE-2021-27493 wat kan leiden tot onjuiste neutralisatie;
- CVE-2019-9636, of onjuiste behandeling van Unicode-codering;
- CVE-2021-33024 wat kan leiden tot onvoldoende beveiligde inloggegevens;
- CVE-2021-33022 die kan leiden tot overdracht van gevoelige informatie in leesbare tekst.
Het is opmerkelijk dat Philips alle problemen aan de Cybersecurity and Infrastructure Agency heeft gemeld (CISA). Ten slotte, er zijn geen openbare exploits bekend op basis van een van de kwetsbaarheden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: