Errores críticos informados en los sistemas de imágenes médicas Philips Vue PACS

Sistemas de imágenes médicas PACS

Se han identificado varias vulnerabilidades de seguridad en el portal de la plataforma de colaboración clínica de Philips (también conocido como Vue PACS), algunas de las cuales podrían ser explotadas por un enemigo para tomar el control de un sistema afectado.

«La explotación exitosa de estas vulnerabilidades podría permitir que una persona o un proceso no autorizado espíe, vea o modifique datos, acceda al sistema, ejecute código, instale software no autorizado o afecte la integridad de los datos del sistema de una manera que afecte negativamente la confidencialidad, integridad o seguridad del sistema. disponibilidad. ”, dijo la Agencia de Seguridad de Infraestructura y Seguridad Cibernética de EE. UU. (CISA) en una recomendación.

15 deficiencias afectan:

  • Sistemas de archivo y comunicación VUE (versión 12.2.xx y anteriores),
  • Vue MyVue (versión 12.2.xx y anteriores),
  • Vue Speech (versión 12.2.xx y anteriores) a
  • Vue Motion (versión 12.2.1.5 y anteriores)

A cuatro de los problemas (CVE-2020-1938, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670 y CVE-2018-8014) se les asignó un puntaje de referencia de 9.8 del Sistema de puntuación de vulnerabilidad común (CVSS) y se relacionan con la validación incorrecta de los datos de entrada, así como con las vulnerabilidades causadas por errores solucionados previamente en Redis.

Otro error grave (CVE-2021-33020, puntaje CVSS: 8.2) es causado por la plataforma Vue que usa claves criptográficas después de una fecha de vencimiento específica, «lo que reduce significativamente su seguridad al aumentar la ventana de tiempo para romper los ataques contra estas claves».

Otras vulnerabilidades incluyen el uso de un algoritmo criptográfico riesgoso o no funcional (CVE-2021-33018), ataques de secuencias de comandos entre sitios al manipular entradas controlables por el usuario (CVE-2015-9251), métodos de protección de credenciales inseguros (CVE-2021 – 33024), inicialización incorrecta o incorrecta de los recursos (CVE-2018-8014) e incumplimiento de los estándares de codificación (CVE-2021-27501), lo que podría aumentar la gravedad de otras vulnerabilidades.

Si bien Philips ha abordado algunas de las deficiencias en sus actualizaciones entregadas en junio de 2020 y mayo de 2021, se espera que la empresa holandesa de atención médica solucione el resto de los problemas de seguridad en la versión 15 de Speech, MyVue y PACS, que actualmente está en desarrollo y listo. para su lanzamiento en 1 trimestre de 2022.

Mientras tanto, CISA insta a las entidades a minimizar la carga de la red para todos los dispositivos del sistema de control y garantizar que no sean accesibles desde Internet, segmentar las redes del sistema de control y los dispositivos remotos detrás de firewalls y usar redes privadas virtuales (VPN) para un acceso remoto seguro. .

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática