Philips Vue PACS, un software de imagistică medicală utilizat pe scară largă, a fost descoperit ca având mai multe vulnerabilități critice în versiunile anterioare 12.2.8.410. Aceste vulnerabilități includ scrierea în afara limitelor, deserializarea datelor neautorizate, consumul necontrolat de resurse, gestionarea necorespunzătoare a privilegiilor, utilizarea acreditărilor implicite, cerințe slabe privind parolele și expunerea informațiilor sensibile la un actor neautorizat. Exploatarea cu succes a acestor vulnerabilități ar putea permite accesul neautorizat, modificarea datelor, accesul la sistem, executarea codului, instalarea neautorizată de software și compromiterea confidențialității, integrității și disponibilității sistemului.
Produse
Vue PACS
Versiune: înainte de 12.2.8.410
Vendor: Philips
CVEs: CVE-2020-10673, CVE-2017-17485, CVE-2020-36518, CVE-2023-40539, CVE-2020-11113, CVE-2021-28165, CVE-2023-40704, CVE-2020-14061, CVE-2023-40159, CVE-2023-40223, CVE-2021-20190, CVE-2019-12814, CVE-2020-35728
Vulnerabilități
Out-of-bounds Write
CVE: CVE-2020-36518
Scor CVSSv3: 5.3 - Mediu
Scor CVSSv4: 7.1 - ridicat
Vector CVSSv4: CVSS4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
CWE: CWE-787
Descriere: O componentă de produs terță parte scrie date după sfârșitul, sau înainte de începutul, buffer-ului destinat.
Impact: Această vulnerabilitate ar putea permite unei persoane sau unui proces neautorizat să afecteze integritatea datelor din sistem, ducând la posibile blocări ale sistemului sau la coruperea datelor.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Deserializarea datelor nesigure
CVE: CVE-2020-11113
Scor CVSSv3: 8.8 - Ridicat
Scor CVSSv4: 7.1 - ridicat
CWE: CWE-502
Descriere: O componentă de produs terță parte deserializează date nesigure fără a verifica suficient că datele rezultate vor fi valide.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să execute cod arbitrar, putând duce la încălcarea securității datelor sau compromiterea sistemului.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Deserializare a datelor nesigure
CVE: CVE-2020-35728
Scor CVSSv3: 8.1 - Ridicat
Scor CVSSv4: 9.3 - Critic
CWE: CWE-502
Descriere: O componentă de produs terță parte deserializează date nesigure fără a verifica suficient că datele rezultate vor fi valide.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să execute cod arbitrar, putând duce la încălcarea securității datelor sau compromiterea sistemului.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Deserializare a datelor nesigure
CVE: CVE-2021-20190
Scor CVSSv3: 8.1 - Ridicat
Scor CVSSv4: 9.3 - Critic
CWE: CWE-502
Descriere: O componentă de produs terță parte deserializează date nesigure fără a verifica suficient că datele rezultate vor fi valide.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să execute cod arbitrar, putând duce la încălcarea securității datelor sau compromiterea sistemului.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Deserializare a datelor nesigure
CVE: CVE-2020-14061
Scor CVSSv3: 8.1 - Ridicat
Scor CVSSv4: 9.3 - Critic
CWE: CWE-502
Descriere: O componentă de produs terță parte deserializează date nesigure fără a verifica suficient că datele rezultate vor fi valide.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să execute cod arbitrar, putând duce la încălcarea securității datelor sau compromiterea sistemului.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Deserializare a datelor nesigure
CVE: CVE-2020-10673
Scor CVSSv3: 8.8 - Ridicat
Scor CVSSv4: 8.7 - ridicat
CWE: CWE-502
Descriere: O componentă de produs terță parte deserializează date nesigure fără a verifica suficient că datele rezultate vor fi valide.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să execute cod arbitrar, putând duce la încălcarea securității datelor sau compromiterea sistemului.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Deserializare a datelor nesigure
CVE: CVE-2019-12814
Scor CVSSv3: 5.9 - Mediu
Scor CVSSv4: 8.7 - ridicat
CWE: CWE-502
Descriere: O componentă de produs terță parte deserializează date nesigure fără a verifica suficient că datele rezultate vor fi valide.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să execute cod arbitrar, putând duce la încălcarea securității datelor sau compromiterea sistemului.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Deserializare a datelor nesigure
CVE: CVE-2017-17485
Scor CVSSv3: 9.8 - Critic
Scor CVSSv4: 9.3 - Critic
CWE: CWE-502
Descriere: O componentă de produs terță parte deserializează date nesigure fără a verifica suficient că datele rezultate vor fi valide.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să execute cod arbitrar, putând duce la încălcarea securității datelor sau compromiterea sistemului.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Consum necontrolat de resurse
CVE: CVE-2021-28165
Scor CVSSv3: 7.5 - Ridicat
Scor CVSSv4: 8.8 - ridicat
CWE: CWE-400
Descriere: O componentă de produs terță parte nu controlează în mod corespunzător alocarea și menținerea utilizării CPU la primirea unui cadru mare de pachete invalid.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să provoace o negare a serviciului, afectând disponibilitatea sistemului.
Mitigare: Philips recomandă configurarea mediului Vue PACS conform D000763414 - Vue_PACS_12_Ports_Protocols_Services_Guide disponibil pe Incenter. De asemenea, Philips recomandă actualizarea la versiunea Vue PACS 12.2.8.410 lansată în octombrie 2023.
Management necorespunzător al privilegiilor
CVE: CVE-2023-40223
Scor CVSSv3: 4.4 - Mediu
Vector CVSSv3: AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Scor CVSSv4: 4.8 - Mediu
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
CWE: CWE-269
Descriere: Philips Vue PACS nu atribuie, modifică, urmărește sau verifică în mod corespunzător privilegiile actorilor, creând o sferă de control neintenționată pentru acel actor.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să obțină privilegii ridicate, putând duce la acces neautorizat sau modificări.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Utilizarea acreditărilor implicite
CVE: CVE-2023-40704
Scor CVSSv3: 7.1 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Scor CVSSv4: 8.4 - Înalt
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
CWE: CWE-1392
Descriere: Philips Vue PACS utilizează acreditări implicite pentru funcționalități potențial critice.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să obțină acces la sistem utilizând acreditările implicite, ceea ce ar putea duce la acces neautorizat sau modificări.
Mitigare: Philips recomandă configurarea mediului Vue PACS conform 8G7607 - Vue PACS User Guide Rev G disponibil pe Incenter.
Cerințe privind parolele slabe
CVE: CVE-2023-40539
Scor CVSSv3: 4.4 - Mediu
Vector CVSSv3: AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
Scor CVSSv4: 4.8 - Mediu
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
CWE: CWE-521
Descriere: Philips Vue PACS nu solicită ca utilizatorii să aibă parole puternice, ceea ce ar putea facilita atacatorilor compromiterea conturilor de utilizator.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să compromită conturile utilizatorilor din cauza cerințelor slabe privind parolele.
Mitigare: Philips recomandă configurarea mediului Vue PACS conform 8G7607 - Vue PACS User Guide Rev G disponibil pe Incenter.
Expunere a informațiilor sensibile la un actor neautorizat
CVE: CVE-2023-40159
Scor CVSSv3: 8.2 - Ridicat
Scor CVSSv4: 8.8 - ridicat
CWE: CWE-200
Descriere: Un utilizator validat care nu este autorizat în mod explicit să aibă acces la anumite informații sensibile ar putea accesa Philips Vue PACS pe aceeași rețea pentru a expune informațiile respective.
Impact: Această vulnerabilitate ar putea permite unei persoane neautorizate să acceseze informații sensibile, putând duce la încălcări ale securității datelor.
Mitigare: Philips recomandă actualizarea la cea mai recentă versiune Vue PACS 12.2.8.400 lansată în august 2023.
Concluzie
Descoperirea acestor vulnerabilități în Philips Vue PACS subliniază necesitatea critică pentru organizațiile din domeniul sănătății de a acorda prioritate măsurilor de securitate cibernetică. Philips a furnizat măsuri specifice de atenuare, inclusiv actualizarea la cele mai recente versiuni de software și configurarea mediului în conformitate cu orientările furnizate. Organizațiile sunt îndemnate să urmeze aceste recomandări și să pună în aplicare măsuri defensive suplimentare, conform recomandărilor CISA, pentru a-și proteja sistemele de o potențială exploatare. Monitorizarea continuă și actualizările în timp util sunt esențiale pentru protejarea datelor medicale sensibile și pentru asigurarea integrității și disponibilității serviciilor medicale.
Referințe
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
