Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Philips-en iSite eta IntelliSpace PACSen

Argitalpen data: 2018/04/02

Garrantzia: Handia

Kaltetutako baliabideak:

iSite eta IntelliSpace PACSen bertsio guztiak.

Azalpena:

Philipsek hainbat ahultasunen berri eman du, baliatuak izateko zailtasun baxukoak, eta erasotzaile bati ondoko ekintzak egitea ahalbidetuko lioketenak: aplikaziora ustekabeko sarrerak bidaltzea, kode arbitrarioa exekutatzea, sistemaren kontrolaren fluxua aldatzea, informazio sentikorra eskuratzea edo sistemaren ustekabeko itxiera eragitea. Horrelakoen bidez pazientearen konfidentzialtasuna, sistemaren integritatea edota bere eskuragarritasuna arriskuan jarriko lirateke.

Konponbidea:

Philips IntelliSpace PACS arriskua murrizten duen ingurune kontrolatu batean exekutatzen da (VPN erabiliz, sare isolatu batean firewall bidez eta interneterako sarbiderik gabe). Horrez gain, Philipsek bere sistemetako mehatxuak monitorizatu eta kudeatzen dituen antibirus bat dauka.

Prebentzio neurri modura, Philipsek ondokoa gomendatzen du:

  • Philipsen partxeen programa iraunkorrean izena ematea
  • Sistemaren firmwarea eguneratzea
  • IntelliSpace PACS 4.4.55x-era eguneratzea Windows 2012 sistema eragilearekin

Era berean, erabiltzaileen eskura dauka bezeroaren arreta zerbitzu bat kontsultak egin ahal izateko. Hemen dago eskuragarri:

Xehetasuna:

Kaltetutako produktuei eragiten dieten ahultasunak ondokoak dira:

  • Memoriaren buffer baten mugetan eragiketen murrizketa desegokia. Horrek eragin lezake beste aldagai, datu egitura edo programaren barneko datu batzuei lotutako memoriaren kokapenetan egitea irakurketa eta idazketa eragiketak. Ondorioz, kode arbitrarioa exekuta liteke, aurreikusitako kontrolaren fluxua aldatu, informazio konfidentziala irakurri edo sistema ustekabean itxi.
  • Garapenaz geroztik edo hirugarrenen osagaiak integratuz geroztik kodean/iturburu kodean dauden hainbat ahultasun.
  • Informazioaren agerpena. Hori baliatuz erasotzaile batek informazio konfidentziala irakur edo zabal lezake baimenik gabe.
  • Kode sorreraren (kode injekzioa) kontrol desegoki erako ahultasuna. Hori baliatuz jarraibide edo kode ez-baimenduak exekuta litezke.
  • OWASPen top ten zerrendako ahultasunak. Horiek baliatuz baimendu gabeko baliabideetara sarbidea lor liteke edo jarraibide edo kode ez-baimenduak exekuta litezke.
  • Modu desegokian murriztutako XML analizatzailea. Hori baliatuz sistemak fitxategi lokal bat irakur lezake eta erasotzaileak sarbide egokirik ez duen zerbitzarietara eskaerak bidal litzake.
  • Hirugarrenen osagaietan ahultasunak. Hainbat eragin izan lezakete: zerbitzuaren ukapena, kode arbitrarioaren exekuzioa, sareko paketeen injekzioa, informazio konfidentziala eskuratzea edota baimendu gabeko pribilegioak eskuratzea. Horrela sistemaren konfidentzialtasuna, integritatea edo eskuragarritasuna kaltetu litezke.
Etiketak: Pribatutasuna, Ahultasuna