Kritické chyby hlásené v zdravotníckych zobrazovacích systémoch Philips Vue PACS

Na portáli Philips Clinical Collaboration Platform Portal (aka Vue PACS) bolo odhalených viacero bezpečnostných chýb, z ktorých niektoré by mohol protivník zneužiť na prevzatie kontroly nad postihnutým systémom.

„Úspešné využitie týchto zraniteľností by mohlo umožniť neoprávnenej osobe alebo procesu odpočúvať, prezerať alebo upravovať údaje, získať prístup k systému, vykonávať kód, inštalovať neoprávnený softvér alebo ovplyvniť integritu systémových údajov takým spôsobom, že by to negatívne ovplyvnilo dôvernosť, integritu alebo dostupnosť systému,“ uviedla americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA).

Vplyv 15 nedostatkov:

  • Archivačné a komunikačné systémy VUE (verzia 12.2.xx a predchádzajúce),
  • Vue MyVue (verzia 12.2.xx a predchádzajúce),
  • Vue Speech (verzia 12.2.xx a predchádzajúce) a
  • Vue Motion (verzia 12.2.1.5 a predchádzajúce)

Štyri z problémov (CVE-2020-1938, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670 a CVE-2018-8014) získali základné skóre Common Vulnerability Scoring System (CVSS) 9.8a týkajú sa nesprávnej validácie vstupných údajov, ako aj zraniteľností spôsobených chybami, ktoré boli predtým opravené v Redis.

Ďalšia vážna chyba (CVE-2021-33020, skóre CVSS: 8.2) je spôsobené tým, že platforma Vue používa kryptografické kľúče po ich stanovenom dátume vypršania platnosti, „čo výrazne znižuje jeho bezpečnosť zvýšením časového okna na prelomenie útokov proti tomuto kľúču“.

Medzi ďalšie slabé stránky patrí použitie nefunkčného alebo riskantného kryptografického algoritmu (CVE-2021-33018), útok skriptovania medzi lokalitami pri manipulácii so vstupom ovládateľným používateľom (CVE-2015-9251), nezabezpečené metódy ochrany overovacích údajov (CVE-2021 -33024), nesprávna alebo nesprávna inicializácia zdrojov (CVE-2018-8014) a nedodržiavanie štandardov kódovania (CVE-2021-27501), čo by mohlo zvýšiť závažnosť iných zraniteľností.

Zatiaľ čo spoločnosť Philips vyriešila niektoré nedostatky v rámci svojich aktualizácií odoslaných v júni 2020 a máji 2021, očakáva sa, že holandská zdravotnícka spoločnosť opraví zvyšok bezpečnostných problémov vo verzii 15 Speech, MyVue a PACS, ktorá je v súčasnosti vo vývoji a uvedenie na trh v 1. štvrťroku 2022.

CISA medzitým nalieha na subjekty, aby minimalizovali vystavenie všetkým zariadeniam riadiaceho systému sieti a zabezpečili, aby neboli prístupné z internetu, siete segmentového riadiaceho systému a vzdialené zariadenia za firewallmi a aby používali virtuálne privátne siete (VPN) na bezpečný vzdialený prístup. .