Американское Агентство по кибербезопасности и защите инфраструктуры, организованное при Министерстве внутренней безопасности США (DHS CISA), предупредило о 15 уязвимостях, затрагивающих медицинские продукты Philips Vue.
Многие баги присутствуют в сторонних компонентах, но все они влияют на продукцию Philips Clinical Collaboration Platform Portal (Vue PACS), включая MyVue, Vue Speech и Vue Motion. Так, из 15 найденных уязвимостей только 7 относятся непосредственно к продукции Philips, а остальные баги затрагивают такие сторонние компоненты, как Redis, 7-Zip, Oracle Database, jQuery, Python и Apache Tomcat.
Четыре уязвимости оцениваются как критические, а еще четыре имеют высокий рейтинг опасности. Недостатки в сторонних компонентах были выявлены в период с 2012 по 2020 год, но все проблемы, связанные с самими продуктами Philips, получили идентификаторы CVE в 2021 году.
Эксперты говорят, что эти уязвимости связаны с неправильной проверкой вводимых данных, различными ошибками памяти, некорректной аутентификацией, небезопасной и неправильной инициализацией ресурсов, использованием криптографических ключей с истекшим сроком действия, использованием слабых криптографических алгоритмов, некорректным использованием механизмов защиты, проблемами целостности данных, XSS, ненадежной защитой учетных данных и передачей конфиденциальной информации открытым текстом.
«Успешная эксплуатация этих уязвимостей может позволить неавторизованному лицу или процессу перехватить, просмотреть или изменить данные, получить доступ к системе, выполнить произвольный код, установить неавторизованное программное обеспечение или повлиять на целостность данных таким образом, что это отрицательно скажется на конфиденциальности, целостности и доступности всей системы», — говорят в CISA.
По данным экспертов, некоторые из этих уязвимостей уже исправлены, но патчи для других будут доступны не ранее первого квартала 2022 года.