Cacat Kritis Dilaporkan dalam Sistem Pencitraan Medis Philips Vue PACS

  • Whatsapp
Sistem Pencitraan Medis PACS

Beberapa kerentanan keamanan telah diungkapkan di Portal Platform Kolaborasi Klinis Philips (alias Vue PACS), beberapa di antaranya dapat dieksploitasi oleh musuh untuk mengendalikan sistem yang terpengaruh.

Eksploitasi yang berhasil dari kerentanan ini dapat memungkinkan orang atau proses yang tidak berwenang untuk menguping, melihat atau memodifikasi data, mendapatkan akses sistem, melakukan eksekusi kode, menginstal perangkat lunak yang tidak sah, atau memengaruhi integritas data sistem sedemikian rupa sehingga berdampak negatif pada kerahasiaan, integritas , atau ketersediaan sistem,” Badan Keamanan Siber dan Infrastruktur AS (CISA) dicatat dalam sebuah nasehat.

Bacaan Lainnya

Tim Stack Overflow

Dampak 15 kekurangan:

  • Sistem Komunikasi dan Pengarsipan Gambar VUE (versi 12.2.xx dan sebelumnya),
  • Vue MyVue (versi 12.2.xx dan sebelumnya),
  • Vue Speech (versi 12.2.xx dan sebelumnya), dan
  • Vue Motion (versi 12.2.1.5 dan sebelumnya)

Empat dari isu (CVE-2020-1938, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670, dan CVE-2018-8014) telah diberi skor dasar Common Vulnerability Scoring System (CVSS) sebesar 9.8, dan menyangkut validasi data input yang tidak tepat serta kerentanan yang disebabkan oleh kelemahan yang sebelumnya ditambal di Redis.

Kelemahan serius lainnya (CVE-2021-33020, skor CVSS: 8.2) disebabkan oleh penggunaan kunci kriptografi platform Vue di luar tanggal kedaluwarsa yang ditetapkan, “yang mengurangi keamanannya secara signifikan dengan meningkatkan jendela waktu untuk memecahkan serangan terhadap kunci itu.”

Kelemahan lain melibatkan penggunaan algoritma kriptografi yang rusak atau berisiko (CVE-2021-33018), serangan skrip lintas situs saat menangani input yang dapat dikontrol pengguna (CVE-2015-9251), metode tidak aman untuk melindungi kredensial otentikasi (CVE-2021 -33024), inisialisasi sumber daya yang tidak benar atau salah (CVE-2018-8014), dan kegagalan untuk mengikuti standar pengkodean (CVE-2021-27501) yang dapat meningkatkan keparahan kerentanan lainnya.

Manajemen Kata Sandi Perusahaan

Sementara Philips telah mengatasi beberapa kekurangan sebagai bagian dari pembaruan yang dikirimkan pada Juni 2020 dan Mei 2021, perusahaan perawatan kesehatan Belanda diharapkan untuk memperbaiki masalah keamanan lainnya di versi 15 dari Speech, MyVue, dan PACS yang saat ini dalam pengembangan dan ditetapkan untuk rilis pada Q1 2022.

Untuk sementara, CISA mendesak entitas untuk meminimalkan eksposur jaringan untuk semua perangkat sistem kontrol dan memastikan bahwa mereka tidak dapat diakses dari Internet, membagi jaringan sistem kontrol dan perangkat jarak jauh di belakang firewall, dan menggunakan jaringan pribadi virtual (VPN) untuk akses jarak jauh yang aman. .

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *