Noll
Källa foto
Sårbarheter har upptäckts i ett flertal olika versioner av Philips hjärt-imaging-anordningar.
Enligt ett säkerhetsmeddelande från US Department of Homeland Security ‘ s ICS-CERT, den första sårbarheten, CVE-2018-14787, är en hög svårighetsgrad fel som påverkar Philips IntelliSpace Hjärt-och Xcelera IntelliSpace Hjärt – (ISCV) produkter.
Den rådgivande säger att sårbarheten tar bara en “låg nivå skicklighet” att utnyttja och är orsakade av felaktig hantering av privilegier.
I ISCV programvara version 2.x eller före och Xcelera Version 4.1 eller tidigare, anfallare med utökade privilegier har tillgång till mappar som potentiellt innehåller körbara program som ger autentiserade användare behörighet att skriva till.
“Framgångsrikt utnyttjande av dessa sårbarheter kan tillåta en angripare med lokal tillgång och användarnas privilegier till ISCV/Xcelera server för att eskalera rättigheter på ISCV/Xcelera server och exekvera godtycklig kod,” den rådgivande säger.
Det andra problemet, CVE-2018-14789, påverkan ISCV version 3.1 eller före och Xcelera Version 4.1 eller tidigare. Övriga sökvägar tillåter angripare utifrån att höja sina privilegier nivåer och exekvera godtycklig kod.
I en Philips corporate security advisory, sade företaget att de servrar för ISCV version 2.x och tidigare och Xcelera 3x — 4.x innehåller 20 Windows-tjänster av körbara filer som finns i en mapp där autentiserade användare ges behörighet att skriva till.
Se även: FDA-en av många “tandlös dragons’ med någon vilja att ta itu med medicinska enheten säkerhet
“De tjänster som körs som en lokal admin-konto eller om kontot lokalt system, och om en användare skulle ersätta en av körbara filer med olika program, att programmet också skulle utföras med lokala admin eller lokala behörigheter,” Philips läggas till.
I ISCV version 3.x och tidigare och Xcelera 3.x — 4.x, det är 16 Windows-tjänster som inte har citat i sökvägen.
De tjänster som körs med lokala admin rättigheter och kan inledas med en nyckel i registret potentiellt erbjuder en angripare en aveny som att placera en körbar som ger lokala admin rättigheter.
Buggar inte kan utnyttjas på distans och inga rapporter har kommit som indikerar exploatering i det vilda.
Åtgärder kommer att tillämpas genom en patch planerad för release i oktober. Under tiden, Philips säger att användare bör “om möjligt” begränsa tillgängliga behörigheter.
TechRepublic: AI som förbättrar hälso-och sjukvård effektivitet hotar också vinster
“Philips är medveten om att säkerheten för vår hälso-och sjukvård, personlig hälsa, hem och konsument produkter och tjänster som är affärskritiska för våra kunder,” bolaget säger. “Philips har tagit ledningen i att skapa ett Samordnat Sårbarhet informationspolicy, att samverka med kunder, säkerhet forskare, tillsynsmyndigheter och andra myndigheter för att hjälpa till att proaktivt identifiera, åtgärda och informera potentiella sårbarheter i ett säkert och effektivt sätt.”
Vi kan inte ignorera svagheter i säkerheten i medicintekniska produkter. Som visas när den AMERIKANSKA Food and Drug Administration (FDA) tvingas återkalla 465,000 St. Jude pacemaker för att lappa dem, fel i sådana system kan orsaka ångest hos patienter — och kan även sluta sina enheter arbetar helt och hållet.
CNET: Titta på CNET: s Nästa Stora Sak CES 2018 panel, Den Osynliga Läkare
Daniel Miessler, chef för rådgivning vid IOActive, berättade ZDNet att FDA är lite mer än en “tandlös dragon” när det gäller att tillämpa lämpliga säkerhetsåtgärder i medicintekniska produkter.
Kanske är det dags att tillverkare av medicintekniska hålls till ett mer stringent security standard.
Tidigare och relaterade täckning
Sjukhuset hacks: Standard lösenord och ingen lapp lämnar hälso-och sjukvården på risk 1,5 miljarder känsliga filer som är utsatta av felaktigt servrar, lagring och molntjänster FDA frågor återkallande av 465,000 St. Jude pacemaker för att lappa hål säkerhet
Relaterade Ämnen:
Hälsa
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0