Kritische Fehler in Philips Vue PACS-Systemen für die medizinische Bildgebung gemeldet

  • In Philips Clinical Collaboration Platform Portal (auch bekannt als Vue PACS) wurden mehrere Sicherheitslücken entdeckt, von denen einige von einem Angreifer ausgenutzt werden könnten, um die Kontrolle über ein betroffenes System zu übernehmen.

    “Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte es einer unbefugten Person oder einem unbefugten Prozess ermöglichen, Daten zu belauschen, einzusehen oder zu verändern, Systemzugriff zu erlangen, Code auszuführen, nicht autorisierte Software zu installieren oder die Datenintegrität des Systems so zu beeinträchtigen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit des Systems beeinträchtigt wird”, so die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) in einem Advisory.

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    Die 15 Schwachstellen wirken sich aus:

    • VUE Picture Archiving and Communication Systems (Versionen 12.2.x.x und früher),
    • Vue MyVue (Versionen 12.2.x.x und früher),
    • Vue Speech (Versionen 12.2.x.x und früher), und
    • Vue Motion (Versionen 12.2.1.5 und früher)

    Vier der Schwachstellen (CVE-2020-1938, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670 und CVE-2018-8014) wurden mit einem CVSS-Basis-Score (Common Vulnerability Scoring System) von 9,8 bewertet und betreffen eine unsachgemäße Validierung von Eingabedaten sowie Schwachstellen, die durch zuvor gepatchte Schwachstellen in Redis eingeführt wurden.

    Eine weitere schwerwiegende Schwachstelle (CVE-2021-33020, CVSS-Score: 8.2) wird durch die Verwendung von kryptografischen Schlüsseln durch die Vue-Plattform über ihr festgelegtes Ablaufdatum hinaus verursacht, “was die Sicherheit erheblich verringert, indem das Zeitfenster für Cracking-Angriffe gegen diesen Schlüssel vergrößert wird.”

    Weitere Schwachstellen betreffen die Verwendung eines fehlerhaften oder riskanten kryptografischen Algorithmus (CVE-2021-33018), einen Cross-Site-Scripting-Angriff bei der Behandlung von benutzergesteuerten Eingaben (CVE-2015-9251), unsichere Methoden zum Schutz von Authentifizierungsdaten (CVE-2021-33024), unsachgemäße oder falsche Initialisierung von Ressourcen (CVE-2018-8014) und die Nichteinhaltung von Codierungsstandards (CVE-2021-27501), die den Schweregrad der anderen Schwachstellen erhöhen können.

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Während Philips einige der Mängel im Rahmen der im Juni 2020 und Mai 2021 ausgelieferten Updates behoben hat, wird erwartet, dass das niederländische Gesundheitsunternehmen den Rest der Sicherheitsprobleme in der Version 15 von Speech, MyVue und PACS beheben wird, die sich derzeit in der Entwicklung befindet und im ersten Quartal 2022 veröffentlicht werden soll.

    In der Zwischenzeit empfiehlt die CISA den Unternehmen dringend, die Netzwerkexposition für alle Steuersystemgeräte zu minimieren und sicherzustellen, dass sie nicht aus dem Internet erreichbar sind, Steuersystemnetzwerke und Remote-Geräte hinter Firewalls zu segmentieren und virtuelle private Netzwerke (VPNs) für einen sicheren Remote-Zugriff zu verwenden.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com