Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Philips-en e-Alert Unit-en

Argitalpen data: 2018/08/31

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • Philips e-Alert, R2.1 eta lehenagoko bertsioak

Azalpena:

Philipsek hainbat ahultasun aurkitu ditu. Azpisare berean dagoen erasotzaile batek horiek arrakastaz baliatuz gero, erabiltzailearen kontakturako xehetasunak eta kaltetutako produktuen integritatea edota eskuragarritasuna kaltetu edo arriskuan jar litezke. Ahultasun horiei esker erasotzaile batek aplikazioan ustekabeko sarrera datuak sar litzake, kode arbitrarioa exekutatu, unitatearen informazioa eskuratu edo kaltetutako unitateek funtzionatzeari utz diezaioten lor lezake.

Konponbidea:

2018ko ekainean Philipsek ahultasun horietako batzuk konpontzen zituen R2.1 bertsioa argitaratu zuen. Gainerako ahultasunen kasuan, Philipsek beste software eguneraketa bat aurreikusia dauka 2018ko amaierarako.
Philipsek zerbitzu aukeren berri emango die kaltetutako erabiltzaile guztiei. Era berean, bere produktuek duten segurtasun webgunea bisitatzea aholkatzen du, gai honi buruz eta Philipsen beste produktu batzuei buruz argitaratuta dagoen segurtasun informazio berriena eskuratzearren. Informazioa ondoko loturan dago eskuragarri:
https://www.philips.com/productsecurity
LANeko ahultasunen aurrean berehalako arintze modura, eta eguneraketa aplika daitekeen bitartean, Philipsek ondokoa gomendatzen die erabiltzaileei:

  • Sareko segurtasuneko praktika onak ezartzen direla bermatzea.
  • e-Alert-en sarerako sarbidea murriztea, produktuaren dokumentazioak dioenaren arabera.

e-Alert-eko beren instalazio bereziei buruz  galderak dituzten erabiltzaileek Philipsen laguntza zerbitzu lokalarekin edo e-Alert-eko eskualdeko laguntza zerbitzuarekin harremanetan jarri behar dira. Harremanetarako informazioa hemen eskura daiteke:

https://www.usa.philips.com/healthcare/solutions/customer-service-solutions

Xehetasuna:

  • Sarrera datuak oker balioztatzea: softwareak ez du sarrera-datuen balioztatze zuzenik egiten, eta hori baliatuz erasotzaileak sarrera-datuak eman litzake aplikazioaren gainerakoak espero ez duen modu batean. Horren ondorioz unitatearen zati batzuek nahi gabeko sarrera bat jasoko lukete, eta horrek kontrol fluxu aldatua, baliabide baten kontrol arbitrarioa edo kode arbitrarioaren exekuzioa eragin lezake. Ahultasun horretarako CVE-2018-8850 identifikatzailea erabili da.
  • Cross Site Scripting (XSS): softwareak ez ditu modu egokian iragazten sarrera parametroak. Horri esker erasotzaile batek kodea exekuta lezake bezeroaren aldean biktima bat web zerbitzarira bere nabigatzailearen bidez sartzen denean. Ahultasun horretarako CVE-2018-8846 identifikatzailea erabili da.
  • Lehenetsitako baimen okerrak: Softwarea instalatzerakoan objektu batentzat baimen okerrak ezartzen ditu, eta horrek objektua agerian uzten du nahi gabeko erabiltzaile baten aurrean. Ahultasun horretarako CVE-2018-8848 identifikatzailea erabili da.
  • Informazio sentikorraren transmisioa testu lauan: softwareak informazio sentikorra edo segurtasun kritikoko informazioa testu lauan transmititzen du, erasotzaile batek atzeman dezakeen komunikazio bide baten bidez. Produktuaren komunikazio kanala ez dago zifratuta, eta horren ondorioz kontaktu pertsonalerako informazioa eta sare beraren barnean aplikazioaren saio hasierako kredentzialak zabal litezke. Ahultasun horretarako CVE-2018-8842 identifikatzailea erabili da.
  • Baliabideen kontrolik gabeko kontsumoa: softwareak ez du modu egokian murrizten erabiltzaile batek eskatzen duen baliabideen tamaina edo kopurua. Hori erabil liteke aurreikusitakoak baino baliabide gehiago kontsumitzeko. Ahultasun horretarako CVE-2018-8854 identifikatzailea erabili da.
  • Pasahitz barneratuen erabilpena: softwareak barneratuta dauka barneko datuak zifratzeko erabiltzen den giltza kriptografikoa. Ahultasun horretarako CVE-2018-8856 identifikatzailea erabili da.

Ahultasun horiez gain, kritikotasun txikiagoko beste batzuk ere aurkitu dira. Horietarako ondoko identifikatzaileak erreserbatu dira: CVE-2018-14803, CVE-2018-8844, CVE-2018-8852.

Etiketak: Ahultasuna