Kritische Schwachstellen in Philips Vue PACS-Geräten könnten eine Remote-Übernahme ermöglichen

  • Ein Arzt prüft medizinische Bilder mit dem Philips Image Viewer für Vue PACS. Philips hat kürzlich 15 kritische Schwachstellen bekannt gegeben und Patches oder Workarounds zur Verfügung gestellt, um das Risiko zu beheben. (Kredit: Philips)

    Mehrere kritische Schwachstellen im Philips Clinical Collaboration Platform Portal könnten es einem Angreifer ermöglichen, die Kontrolle über ein betroffenes System zu übernehmen. Dies geht aus einer aktuellen Warnung der Department of Homeland Security Cybersecurity and Infrastructure Agency hervor.

    Das Collaboration Platform Portal ist als ein VUE Picture Archiving and Communication Systems (PACS) registriert. Insgesamt wurden der CISA 15 Schwachstellen gemeldet, die das Philips Vue PACS, MyVue, Vue Speech und Vue Motion in den Versionen 12.2 und früher betreffen.

    Vier der Schwachstellen wurden mit einem CVSS-Basis-Score (Common Vulnerability Scoring System) von 9,8 bewertet, was auf die dringende Notwendigkeit hinweist, den bereitgestellten Patch oder Workarounds anzuwenden.

    Bei der ersten handelt es sich um ein unsachgemäßes Eingabevalidierungsproblem, da die VUE-Plattform zwar Eingaben oder Daten empfängt, aber nicht validiert, ob die bereitgestellten Eingaben die erforderlichen Eigenschaften aufweisen, um eine sichere und korrekte Verarbeitung der Daten zu gewährleisten.

    Die CISA wies der Schwachstelle CVE-2020-1938 zu, die auf die Verwendung von Apache JServ (AJP) zurückzuführen ist. Die Schwachstelle wird verursacht, wenn das Apache Tomcat-Protokoll AJC-Verbindungen als vertrauenswürdiger behandelt als ähnliche HTTP-Verbindungen.

    Die zweite Sicherheitslücke wird durch eine Softwarekomponente eines Drittanbieters von Redis verursacht. Durch unsachgemäße Einschränkungen innerhalb des Speicherpuffers von Vue können Benutzer von außerhalb der vorgesehenen Puffergrenze auf eine Speicherstelle lesen oder schreiben.

    Die Redis-Komponente birgt auch den dritten 9.8-Fehler, der durch unsachgemäße Authentifizierung verursacht wird. Wenn ein Benutzer behauptet, eine bestimmte Identität innerhalb der Vue-Plattform zu haben, beweist die Redis-Software nicht oder nur unzureichend, dass die Behauptungen des Benutzers korrekt sind.

    Darüber hinaus wird der Redis-Server auf einem Remote-Host betrieben, ist aber nicht durch eine Passwort-Authentifizierung geschützt. Daher könnte ein entfernter Angreifer die Sicherheitslücke ausnutzen, um Zugriff auf den Server zu erhalten.

    Der vierte kritische Fehler wird dadurch verursacht, dass die Vue-Software eine Ressource als Standard initialisiert oder einstellt, die aber nicht sicher ist. Das Problem wird auch durch das Apache Tomcat-Protokoll verursacht.

    Ein weiterer schwerwiegender Fehler, der mit CVSS 8.2 eingestuft wurde, wird durch die Verwendung von kryptografischen Schlüsseln oder Passwörtern durch die Vue-Plattform nach dem festgelegten Ablaufdatum verursacht, “was die Sicherheit erheblich verringert, indem das Zeitfenster für Cracking-Angriffe gegen diesen Schlüssel vergrößert wird.”

    Weitere schwerwiegende Schwachstellen in Vue sind die unsachgemäße oder falsche Initialisierung von Ressourcen und die Nichteinhaltung von Codierungsregeln für die Entwicklung, die den Schweregrad der anderen Systemschwachstellen erhöhen könnten. Die Software überträgt auch sensible oder sicherheitskritische Daten im Klartext über den Vue-Kommunikationskanal, die leicht “von nicht autorisierten Akteuren ausgespäht werden können.”

    “Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte es einer unbefugten Person oder einem unbefugten Prozess ermöglichen, Daten zu belauschen, einzusehen oder zu ändern, Systemzugriff zu erlangen, Code auszuführen, nicht autorisierte Software zu installieren oder die Integrität von Systemdaten so zu beeinträchtigen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit des Systems negativ beeinflusst wird”, heißt es in der Warnung.

    Philips hat Software-Updates veröffentlicht, um einige der Schwachstellen zu beheben, aber mehrere Schwachstellen erfordern, dass Systemadministratoren in der Zwischenzeit Workarounds anwenden, da die Patches derzeit in der Entwicklung sind und erst in einiger Zeit veröffentlicht werden können.

    Die CISA fordert Einrichtungen des Gesundheitswesens und des öffentlichen Gesundheitswesens dringend auf, den medizinischen Hinweis von Philips zu lesen und die notwendigen Workarounds anzuwenden. Derzeit sind keine öffentlichen Exploits bekannt, die speziell auf diese Schwachstellen abzielen.

    Die Einrichtungen sollten die Netzwerkexposition für alle Steuersystemgeräte minimieren und die Kontrollen überprüfen, um sicherzustellen, dass die Systeme nicht über das Internet zugänglich sind. Administratoren sollten Steuersystemnetzwerke und Remote-Geräte lokalisieren, sie hinter Firewalls platzieren und die Geräte vom Unternehmensnetzwerk isolieren.

    Wenn ein Remote-Zugriff auf das anfällige Vue PACS erforderlich ist, sollte dies über sichere Methoden erfolgen, z. B. über ein virtuelles privates Netzwerk (VPN). Allerdings bergen auch VPNs bekannte Schwachstellen, und Unternehmen müssen sicherstellen, dass das gewählte VPN auf die aktuellste Version aktualisiert ist.

    “Beachten Sie auch, dass ein VPN nur so sicher ist wie die angeschlossenen Geräte”, heißt es in der Warnung. “Die CISA erinnert Organisationen daran, vor dem Einsatz von Abwehrmaßnahmen eine angemessene Auswirkungsanalyse und Risikobewertung durchzuführen.”

    Für weitere Einblicke in die Gewährleistung der Sicherheit von Kontrollsystemen wie PACS hat die CISA bereits früher empfohlene Best Practices bereitgestellt. Unternehmen können eine Reihe von Anleitungen einsehen, von der Aktualisierung des Virenschutzes in der ICS-Umgebung bis hin zur Entwicklung eines ICS-Cybersecurity-Reaktionsplans für Vorfälle.

    PACS standen im letzten Monat im Rampenlicht. Das Department of Health and Human Services forderte die betroffenen Einrichtungen auf, ihren Bestand an PACS zu überprüfen und sicherzustellen, dass Schwachstellen gepatcht und anfällige Geräte vom Netzwerk isoliert sind. Die Philips Vue-Plattform wurde jedoch nicht unter den anfälligen Geräten aufgeführt.

    Der aktuelle Bericht von SC Media wirft ein Licht auf das anhaltende Problem der Gesundheitsversorgung in den USA, wo anfällige PACS aktiv Millionen von medizinischen Bildern preisgeben.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com