Falhas críticas relatadas nos sistemas de imagens médicas Philips Vue PACS

Mais um caso de vulnerabilidade em sistemas críticos de healthcare. Desta vez foi com a Philips. Várias vulnerabilidades foram divulgadas no Portal da Plataforma de Colaboração Clínica Philips (também conhecido como Vue PACS), algumas das quais podem ser exploradas para assumir o controle de um sistema afetado.

"A exploração bem-sucedida dessas vulnerabilidades pode permitir que uma pessoa ou processo não autorizado espione, visualize ou modifique dados, obtenha acesso ao sistema, execute um código, instale software não autorizado ou afete a integridade dos dados do sistema, de forma a impactar negativamente a confidencialidade, integridade , ou disponibilidade do sistema ", observou a Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA) em um comunicado.

As 15 falhas encontradas impactam os seguintes sistemas:

• Sistemas de comunicação e arquivamento de imagens VUE (versões 12.2.x.x e anteriores),

• Vue MyVue (versões 12.2.x.x e anteriores),

• Vue Speech (versões 12.2.x.x e anteriores), e

• Vue Motion (versões 12.2.1.5 e anteriores)

Quatro dos problemas (CVE-2020-1938, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670 e CVE-2018-8014) receberam uma pontuação básica do Sistema de Pontuação de Vulnerabilidade Comum (CVSS) de 9.8, e diz respeito à validação inadequada de dados de entrada, bem como vulnerabilidades introduzidas por falhas previamente corrigidas no Redis.

Outra falha séria (CVE-2021-33020, pontuação CVSS: 8,2) é causada pelo uso da plataforma Vue de chaves criptográficas além de sua data de expiração estabelecida, "o que diminui sua segurança significativamente, aumentando a janela de tempo para ataques de cracking contra essa chave."

Outros pontos fracos envolvem o uso de um algoritmo criptográfico quebrado (CVE-2021-33018), um ataque de script entre sites ao lidar com entrada controlável pelo usuário (CVE-2015-9251), métodos inseguros para proteger as credenciais de autenticação (CVE-2021 -33024), inicialização imprópria ou incorreta de recursos (CVE-2018-8014) e falha em seguir os padrões de codificação (CVE-2021-27501) que podem aumentar a gravidade das outras vulnerabilidades. Enquanto a Philips corrigiu algumas das deficiências como parte de suas atualizações enviadas em junho de 2020 e maio de 2021, a empresa de saúde holandesa deve corrigir o resto dos problemas de segurança na versão 15 do Speech, MyVue e PACS que está atualmente em desenvolvimento e com lançamento previsto para o primeiro trimestre de 2022.

Nesse ínterim, a CISA está pedindo às entidades que minimizem a exposição da rede para todos os dispositivos do sistema de controle e garantam que eles não sejam acessíveis pela Internet, segmente redes do sistema de controle e dispositivos remotos atrás de firewalls e usem redes privadas virtuais (VPNs) para acesso remoto seguro .