Pesquisadores de segurança relataram várias vulnerabilidades no Portal Philips Clinical Collaboration Platform.
Vulnerabilidades no portal da plataforma de colaboração clínica Philips
as vulnerabilidades, 15 no total, pode ser usado para assumir o controle de dispositivos médicos. De acordo com um comunicado oficial da CISA, as falhas podem ser exploradas remotamente em ataques de baixa complexidade.
Em termos de avaliação de risco, “A exploração bem-sucedida dessas vulnerabilidades pode permitir que uma pessoa ou processo não autorizado intercepte, visualizar ou modificar dados, obter acesso ao sistema, realizar execução de código, instalar software não autorizado, ou afetar a integridade dos dados do sistema de forma a impactar negativamente a confidencialidade, integridade, ou disponibilidade do sistema. ”
relacionado: 45 Milhões de imagens médicas e registros disponíveis gratuitamente online
O que é o portal Philips Clinical Collaboration Platform, conhecido como Vue PACS? disse brevemente, a plataforma é uma solução de análise clínica de saúde. Afetadas são as seguintes versões do produto:
- Visualização PACS: Versões 12.2.x.x e anteriores
- Visualização MyVue: Versões 12.2.x.x e anteriores
- Vue Speech: Versões 12.2.x.x e anteriores
- Visualização de movimento: versões 12.2.1.5 e anterior
Aqui está uma lista das vulnerabilidades, conforme o conselho oficial da CISA:
- CVE-2020-1938, o que pode levar a validação de entrada imprópria;
- CVE-2018-12326 e CVE-2018-11218, ou restrição imprópria de operações com os limites de um buffer de memória;
- CVE-2020-4670, o que causa autenticação imprópria;
- CVE-2018-8014, ou inicialização padrão insegura do recurso;
- CVE-2021-33020, ou uso de uma chave após sua data de expiração;
- CVE-2018-10115, ou problemas de inicialização imprópria;
- CVE-2021-27501, ou aderência indevida aos padrões de codificação;
- CVE-2021-33018, ou o uso de algoritmo criptográfico arriscado;
- CVE-2021-27497, ou problemas relacionados a falhas do mecanismo de proteção;
- CVE-2012-1708 que causa problemas de integridade de dados;
- CVE-2015-9251 que causa problemas de script entre sites;
- CVE-2021-27493 que pode levar à neutralização inadequada;
- CVE-2019-9636, ou manuseio impróprio de codificação Unicode;
- CVE-2021-33024 que pode levar a credenciais insuficientemente protegidas;
- CVE-2021-33022 que pode causar a transmissão de texto claro de informações confidenciais.
Vale ressaltar que a Philips relatou todos os problemas à Agência de Infraestrutura e Segurança Cibernética (CISA). por fim, não há exploits públicos conhecidos com base em qualquer uma das vulnerabilidades.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: