Introducció
Philips va reportar 5 vulnerabilitats de severitat crítica i recentment ha actualitzat les recomanacions. [1]
Anàlisi
L’explotació reeixida d’aquestes vulnerabilitats podria permetre que un atacant o procés no autoritzat espie, veja o modifique dades, obtinga accés al sistema, realitze una execució de codi, instal·le software no autoritzat o afecte la integritat de les dades del sistema, de tal manera que afecte negativament la confidencialitat, integritat o disponibilitat d’aquest.
CVE-2020-1938: Validació incorrecta de l’entrada (CWE-20)
El producte rep entrades o dades, però no valguda o valguda incorrectament que l’entrada té les propietats necessàries per a processar les dades de manera segura i correcta.
CVE-2018-12326 y CVE-2018-11218: Restricció inadequada d’operacions dins dels límits d’un buffer de memòria (CWE-119)
El software realitza operacions en un búfer de memòria, però pot llegir o escriure en una ubicació de memòria que està fora dels límits previstos del búfer. Aquesta vulnerabilitat existeix en un component de software de tercers (Redis).
CVE-2020-4670: Autenticació incorrecta (CWE-287)
Quan un actor afirma tindre una identitat determinada, el software no prova o prova insuficientment que l’afirmació és correcta. Aquesta vulnerabilitat existeix en un component de software de tercers (Redis).
CVE-2018-8014: Inicialització insegura per defecte d’un recurs (CWE-1188)
El software inicialitza o estableix un recurs amb un valor predeterminat que està previst que canvie l’administrador, però el valor predeterminat no és segur.
Els models afectats són:
-
- Vue PACS: Versions 12.2.x.x i anteriors
- Vue MyVue: Versions 12.2.x.x i anteriors
- Vue Speech: Versions 12.2.x.x i anteriors
- Vue Motion: Versions 12.2.1.5 i anteriors
Recomanacions
Philips ha publicat les següents mesures per a solucionar aquestes vulnerabilitats:
-
- Configurar l’entorn Vue PACS según D00076344 – Vue_PACS_12_Ports_Protocols_Services_Guide disponible en Incenter. [2]
- Actualitzar Speech a la versió 12.2.8.0 de maig de 2021 per a solucionar CVE-2018-12326, CVE-2018-11218 i CVE-2020-4670, i contactar amb el suport.
- Actualitzar PACS a la versió 12.2.8.0 de maig de 2021 per a solucionar CVE-2020-1938, CVE-2018-12326, CVE-2018-11218 i CVE-2020-4670, i contactar amb el suport.
- Actualitzar PACS a la versió 15 del primer trimestre de 2022 per a solucionar CVE-2018-8014 i contactar amb el suport.
Referències
[1] Philips Vue PACS (Update C) – ICSMA-21-187-01[2] Incenter