Podatności w oprogramowaniu Philips Vue PACS | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

graficzna reprezentacja cyberbezpieczeństwa, cyfrowe połączenia i kłódki symbolizujące bezpieczeństwo

Podatności w oprogramowaniu Philips Vue PACS

Zostały wykryte podatności w produktach do dystrybucji i przeglądania obrazów w systemach radiografii cyfrowej. Zespół CSIRT-CEZ zaleca aktualizację Philips Vue PACS do wersji co najmniej 12.2.8.410. Wcześniejsze, posiadają podatności pozwalające między innymi na nieautoryzowany dostęp do bazy danych.

Szczegóły podatności:

CVE-2021-28165  

Jak atakujący mogą wykorzystać tę podatność?

  1. Atakujący wykonują liczne żądania lub przesyłają duże ilości danych do aplikacji.
  2. Prowadzi to do wyczerpania zasobów (np. pamięci, procesora). 
  3. To z kolei może spowodować awarię aplikacji lub brak jej odpowiedzi. 
  4. Podatność ta nie umożliwia dostępu do danych pacjentów ani ich modyfikacji. Jednak atakujący, posiadający dostęp do prywatnej sieci szpitala chronionej mechanizmami bezpieczeństwa (np. zaporami sieciowymi, VPN), może przesyłać wiele komunikatów do serwera. 
  5. Duża ilość tego typu zapytań może skutkować przeciążeniem procesora i wystąpieniem stanu odmowy usługi (DoS). 

Ważne! Podatność ta nie umożliwia dostępu do danych pacjentów ani ich modyfikacji. Serwer nie wysyła żadnej odpowiedzi do atakującego, a informacje o pacjentach pozostają bezpieczne.

Zalecenia:

Skonfigurowanie środowiska Vue PACS zgodnie z dokumentem D000763414 – Vue_PACS_12_Ports_Protocols_Services_Guide, dostępnym na platformie Incenter. Wersja Vue PACS 12.2.8.410 wydana w październiku 2023 roku eliminuje tę podatność.

CVE-2023-40704  

Produkt nie wymaga tworzenia unikalnych i złożonych haseł podczas instalacji. Użycie domyślnego hasła dostarczanego przez Philips może narazić system PACS na ryzyko, jeśli hasło zostanie złamane lub ujawnione. Atakujący mógłby uzyskać dostęp do bazy danych, co mogłoby wpłynąć na dostępność systemu oraz integralność danych.

Zalecenia producenta:

Producent nie zaleca podejmowania działań ze względu na niskie ryzyko jej wykorzystania, jednak klienci mogą poprosić firmę Philips o aktualizację haseł do bazy danych.

Dodatkowo zalecamy:

  • Minimalizuj dostępność urządzeń i systemów sterowania w sieci, upewnij się, że nie są one dostępne z Internetu. 
  • Umieszczaj sieci systemów sterowania i urządzenia zdalne za zaporami sieciowymi oraz izoluj je od sieci biznesowych.
  • W przypadku konieczności zdalnego dostępu stosuj bezpieczniejsze metody, takie jak sieci VPN, pamiętając, że VPN również może posiadać podatności i powinien być zawsze aktualizowany do najnowszej wersji. Zwróć uwagę, że bezpieczeństwo VPN zależy od zabezpieczenia podłączonych urządzeń.