Nul
Kilde foto
Sårbarheder er opdaget i flere versioner af Philips hjerte-kar-billedenheder.
Ifølge en sikkerhedsmeddelelse fra det AMERIKANSKE Department of Homeland Security ‘ s ICS-CERT, den første svaghed, CVE-2018-14787, er en høj sværhedsgrad fejl, som påvirker Philips IntelliSpace Hjerte-kar og Xcelera IntelliSpace Hjerte-kar – (ISCV) produkter.
Det rådgivende siger, at den sårbarhed tager kun et “lav-niveau dygtighed” til at udnytte og er forårsaget af forkert privilegium ledelse.
I ISCV software version 2.x eller før og Xcelera Version 4.1 eller tidligere, angribere, med forøgede rettigheder er i stand til at få adgang til mapper, der potentielt indeholder eksekverbare filer, som giver godkendte brugere skriverettigheder.
“Vellykket udnyttelse af disse sikkerhedsrisici kan give en hacker med adgang lokalt og brugere privilegier til ISCV/Xcelera server til at eskalere privilegier på ISCV/Xcelera server og udføre vilkårlig kode,” det rådgivende siger.
Den anden svaghed, CVE-2018-14789, virkninger ISCV version 3.1 eller før og Xcelera Version 4.1 eller tidligere. Ikke-børsnoterede søg stier tillade angribere at hæve deres privilegium niveauer og udføre vilkårlig kode.
I en Philips corporate security advisory, selskabet sagde, at de servere til ISCV version 2.x og tidligere, og Xcelera 3x — 4.x indeholder 20 Windows-tjenester som eksekverbare filer er til stede i en mappe, hvor godkendte brugere tildeles skrive-tilladelser.
Se også: FDA én ud af mange “tandløs dragons’ med nogen vilje til at løse medicinske udstyr sikkerhed
“De tjenester, der kører som en lokal admin-konto eller lokale system konto, og hvis en bruger var til at erstatte en af de eksekverbare filer med et andet program, at programmet vil også blive udført med lokale admin eller lokale system tilladelser,” Philips tilføjet.
I ISCV version 3.x og tidligere, og Xcelera 3.x-4.x, der er 16 Windows-tjenester, der ikke har citater i stien.
De tjenester kører med lokale admin rettigheder og kan være indledt med en nøgle i registreringsdatabasen, som potentielt offer for en hacker en allé, hvor en eksekverbar, som giver de lokale admin rettigheder.
Bugs må ikke udnyttes eksternt, og ingen rapporter er blevet modtaget, som angiver udnyttelse i naturen.
Afhjælpninger vil blive anvendt gennem en patch er planlagt til udgivelse i oktober. I mellemtiden, Philips siger, at brugerne skal “, hvor det er muligt” at begrænse de tilgængelige tilladelser.
TechRepublic: AI, der forbedrer sundhedsydelser effektivitet også truer med overskud
“Philips erkender, at sikkerheden for vores sundhedsvæsen, personlig sundhed, og hjem forbrugsvarer og tjenester, der er forretningskritiske for vores kunder,” siger selskabet. “Philips har taget føringen i at skabe en Koordineret Offentliggørelse af sårbarheder politik, at samarbejde med kunder, sikkerhed forskere, myndigheder og andre organer for at hjælpe proaktivt at identificere, adresse og afsløre potentielle sårbarheder i en sikker og effektiv måde.”
Vi kan ikke ignorere sikkerhedsmæssige svagheder i medicinsk udstyr. Som vist, når den AMERIKANSKE Food and Drug Administration (FDA) tvunget tilbagekaldelse af 465,000 St. Jude pacemaker for at lappe dem, fejl i sådanne systemer, kan forårsage angst hos patienter, — og selv kunne stoppe deres enheder, der arbejder helt.
CNET: Se CNET ‘ s Næste Store Ting CES 2018 panel, Den Usynlige Læge
Daniel Miessler, leder af advisory services i IOActive, fortalte ZDNet, at FDA er lidt mere end en “tandløs dragon”, når det kommer til at håndhæve passende sikkerhedsforanstaltninger i medicinsk udstyr.
Måske det er på tide, at producenter af medicinsk udstyr er underlagt en mere stringent security standard.
Tidligere og relaterede dækning
Hospital hacks: Standard passwords, og ingen lappe blade sundhedsydelser på risikoen for 1,5 milliarder følsomme filer udsat ved konfigureret forkert, servere, storage-og cloud-tjenester FDA spørgsmål tilbagekaldelse af 465,000 St. Jude pacemaker til at lappe sikkerhedshuller
Relaterede Emner:
Sundhed
Sikkerhed-TV
Data Management
CXO
Datacentre
0