15 Kerentanan Philips Vue Dapat Mengakibatkan Pengambilalihan Penuh Perangkat

  • Whatsapp
15 Kerentanan Philips Vue Dapat Mengakibatkan Pengambilalihan Penuh Perangkat

 

CISA telah merilis nasihat tentang beberapa kerentanan yang ditemukan di perangkat kesehatan Philips Vue PACS. Di tangan seorang peretas, 15 Kerentanan Philips Vue yang ditemukan di Portal Platform Kolaborasi Klinis Philips dapat menyebabkan serangan eksekusi kode jarak jauh.
Bahaya yang ditimbulkan oleh kerentanan ini, menurut CISA (Badan Keamanan Siber dan Infrastruktur Amerika Serikat), adalah sebagai berikut:
Eksploitasi yang berhasil dari kerentanan ini dapat memungkinkan orang atau proses yang tidak berwenang untuk mendengar percakapan, melihat atau mengubah data, mendapatkan akses sistem, mengeksekusi kode, menginstal perangkat lunak yang tidak sah, atau membahayakan integritas data sistem, yang semuanya dapat membahayakan kerahasiaan, integritas sistem. , atau ketersediaan.
Kerentanan menuntut perhatian dan perbaikan segera karena empat dari lima belas memiliki peringkat CVSS 9,8. (Sistem Skor Kerentanan Umum).
Kerentanan yang ditemukan ditandai sebagai berikut dalam nasihat yang dirilis untuk tujuan informasi, menurut situs web CISA:
#1 CVE-2020-1938: 9.8 CVSS mencetak cacat yang disebabkan oleh validasi yang tidak tepat dari data yang diterima.
#2 CVE-2018-12326 dan CVE-2018-11218: perangkat lunak yang bekerja melalui buffer memori tidak dapat membaca atau menulis ke luar lokasi memori area buffer. Itu dapat ditemukan di komponen Redis.
#3 CVE-2020-4670: diberi skor dengan 9,8 CVSS, ini disebabkan oleh otentikasi yang tidak benar. Perangkat Lunak Redis tidak dapat menegaskan validitas klaim identitas yang diberikan oleh aktor ancaman.
#4 CVE-2018-8014: default yang disetel oleh perangkat lunak tidak aman (dimaksudkan untuk dimodifikasi oleh administrator).
#5 CVE-2021-33020: kata sandi kedaluwarsa dan kunci kriptografi yang digunakan produk mengarah pada peningkatan jendela waktu.
#6 CVE-2018-10115: itu ada di komponen pihak ketiga 7-Zip. Inisialisasi sumber daya yang salah menyebabkan status yang tidak terduga.
#7 CVE-2021-27501: aturan pengkodean pengembangan khusus tidak diterapkan oleh perangkat lunak.
#8 CVE-2021-33018: algoritma kriptografi yang rusak dapat menyebabkan kebocoran data.
#9 CVE-2021-27497: mekanisme perlindungan tidak digunakan dengan benar oleh produk.
#10 CVE-2012-1708: itu terletak di komponen Oracle Database pihak ketiga dan terkait dengan integritas data.
#11 CVE-2015-9251: input yang dapat dikontrol pengguna tidak dinetralkan dengan benar sebelum menempatkannya di output.
#12 CVE-2021-27493: data atau pesan terstruktur tidak dipastikan dengan cara yang benar.
#13 CVE-2019-9636: penyandian Unicode dari input tidak dikelola secara akurat oleh perangkat lunak.
#14 CVE-2021-33024: metode untuk melindungi kredensial otentikasi tidak aman.
#15 CVE-2021-33022: saluran komunikasi yang digunakan untuk mengirimkan data sensitif mungkin diendus.
Menurut laporan, perangkat yang terkena dampak adalah Vue Speech 12.2 dan varian sebelumnya, Vue Motion dan Philips Vue PACS, MyVue. Beberapa dari mereka telah diperbaiki, sementara yang lain tidak akan menerima peningkatan keamanan hingga 2022.
Langkah-langkah keamanan: 
Strategi yang masuk akal, menurut SCMagazine, adalah membatasi koneksi jaringan gadget. Administrator harus bertanggung jawab atas perangkat jarak jauh dan jaringan sistem kontrol; mereka harus memisahkannya dari jaringan perusahaan dan menempatkannya di belakang firewall.
Namun, jika peralatan tertentu dengan kerentanan Philips Vue akan digunakan dari jarak jauh, tidak disarankan untuk melakukannya tanpa koneksi aman, seperti VPN yang diperbarui.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *