Zero
Fonte foto
Le vulnerabilità sono state scoperte in più versioni di Philips cardiovascolare dispositivi di imaging.
Secondo un avviso di sicurezza dal Dipartimento di Homeland Security ICS-CERT, la prima vulnerabilità CVE-2018-14787, è un alto livello di gravità del difetto che colpisce il Philips IntelliSpace Cardiovascolari e Xcelera IntelliSpace Cardiovascolare (ISCV) prodotti.
L’avviso dice che la vulnerabilità richiede solo un “basso livello di abilità” per sfruttare ed è causata da una cattiva gestione dei privilegi.
In ISCV versione software 2.x o precedenti e Xcelera Versione 4.1 o prima, gli aggressori con l’escalation di privilegi sono in grado di accedere alle cartelle contenenti potenzialmente eseguibili che danno agli utenti autenticati di autorizzazioni di scrittura.
“Lo sfruttamento di queste vulnerabilità può consentire a un utente malintenzionato con accesso locale e gli utenti con privilegi di ISCV/Xcelera server per scalare i privilegi sul ISCV/Xcelera server per eseguire codice arbitrario,” l’avviso dice.
La seconda vulnerabilità CVE-2018-14789, impatti ISCV versione 3.1 o prima e Xcelera Versione 4.1 o prima. Non quotate percorsi di ricerca per consentire agli aggressori di aumentare i loro livelli di privilegio e di eseguire codice arbitrario.
Philips sicurezza aziendale e di consulenza, l’azienda ha detto che i server per ISCV versione 2.x e versioni precedenti e Xcelera 3x — 4.x contenere 20 servizi di Windows di cui eseguibili sono presenti in una cartella in cui gli utenti autenticati vengono concessi i permessi di scrittura.
Vedi anche: FDA uno dei tanti ‘sdentato draghi”, con la volontà di affrontare la sicurezza dei dispositivi medici
“I servizi di eseguire come amministratore locale account o account di sistema locale, e se un utente di sostituire uno dei file eseguibili con un programma diverso, che il programma è troppo dovrebbe essere eseguito con locale locale o amministratore di sistema di autorizzazioni,” Philips aggiunto.
In ISCV versione 3.x e versioni precedenti e Xcelera 3.x — 4.x, ci sono 16 i servizi di Windows che non hanno cita il nome del percorso.
I servizi vengono eseguiti con diritti di amministratore locale e può essere avviato con una chiave del registro di sistema, potenzialmente offrire un attaccante, un viale in cui inserire un file eseguibile, che concede diritti di amministratore locale.
Il bug non può essere sfruttata da remoto e senza segnalazioni sono state ricevute che indicano lo sfruttamento selvaggio.
Le attenuazioni sarà applicata mediante una patch prevista per il rilascio nel mese di ottobre. Nel frattempo, Philips dice che gli utenti dovrebbero “ove possibile” limitare le autorizzazioni disponibili.
TechRepublic: IA che migliora l’efficienza dei servizi sanitari minaccia anche i profitti
“Philips riconosce che la sicurezza del nostro sistema sanitario, la salute personale, e la casa del consumatore di prodotti e servizi critici per il business per i nostri clienti”, afferma l’azienda. “Philips ha preso l’iniziativa di creare un Coordinato Vulnerabilità politica di Divulgazione, di collaborare con i clienti, i ricercatori di sicurezza, le autorità di regolamentazione e di altri enti, per aiutare a identificare in modo proattivo, indirizzo e divulgare le potenziali vulnerabilità in un modo sicuro ed efficace.”
Non possiamo ignorare i punti deboli della sicurezza dei dispositivi medici. Come mostrato quando la US Food and Drug Administration (FDA) hanno costretto il richiamo di 465,000 St. Jude pacemaker per loro patch, bug in tali sistemi può causare ansia in pazienti e può anche interrompere i loro dispositivi di funzionare del tutto.
CNET: Guarda CNET Next Big Thing CES 2018 pannello, L’Invisibile Medico
Daniel Miessler, direttore dei servizi di consulenza a IOActive, ha detto a ZDNet che la FDA è poco più di un “drago sdentato” quando si tratta di applicazione di adeguate misure di sicurezza dei dispositivi medici.
Forse è il momento che i produttori di dispositivi medici sono tenuti a un più severi standard di sicurezza.
Precedente e relativa copertura
Ospedale hack: la password di Default e nessun inserto foglie di sanitari a rischio 1,5 miliardi di file sensibili esposti da configurato server, storage e servizi cloud FDA problemi richiamo di 465,000 St. Jude pacemaker per correggere falle di sicurezza
Argomenti Correlati:
Salute
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0