Introducción
Philips reportó 5 vulnerabilidades de severidad crítica y recientemente ha actualizado las recomendaciones. [1]
Análisis
La explotación exitosa de estas vulnerabilidades podría permitir que un atacante o proceso no autorizado espíe, vea o modifique datos, obtenga acceso al sistema, realice una ejecución de código, instale software no autorizado o afecte a la integridad de los datos del sistema, de tal manera que afecte negativamente a la confidencialidad, integridad o disponibilidad del mismo.
CVE-2020-1938: Validación incorrecta de la entrada (CWE-20)
El producto recibe entradas o datos, pero no valida o valida incorrectamente que la entrada tiene las propiedades necesarias para procesar los datos de forma segura y correcta.
CVE-2018-12326 y CVE-2018-11218: Restricción inadecuada de operaciones dentro de los límites de un buffer de memoria (CWE-119)
El software realiza operaciones en un búfer de memoria, pero puede leer o escribir en una ubicación de memoria que está fuera de los límites previstos del búfer. Esta vulnerabilidad existe en un componente de software de terceros (Redis).
CVE-2020-4670: Autenticación incorrecta (CWE-287)
Cuando un actor afirma tener una identidad determinada, el software no prueba o prueba insuficientemente que la afirmación es correcta. Esta vulnerabilidad existe en un componente de software de terceros (Redis).
CVE-2018-8014: Inicialización insegura por defecto de un recurso (CWE-1188)
El software inicializa o establece un recurso con un valor predeterminado que está previsto que cambie el administrador, pero el valor predeterminado no es seguro.
Los modelos afectados son:
- Vue PACS: Versiones 12.2.x.x y anteriores
- Vue MyVue: Versiones 12.2.x.x y anteriores
- Vue Speech: Versiones 12.2.x.x y anteriores
- Vue Motion: Versiones 12.2.1.5 y anteriores
Recomendaciones
Philips ha publicado las siguientes medidas para solucionar estas vulnerabilidades:
- Configurar el entorno Vue PACS según D00076344 – Vue_PACS_12_Ports_Protocols_Services_Guide disponible en Incenter. [2]
- Actualizar Speech a la versión 12.2.8.0 de mayo de 2021 para solucionar CVE-2018-12326, CVE-2018-11218 y CVE-2020-4670, y contactar con el soporte.
- Actualizar PACS a la versión 12.2.8.0 de mayo de 2021 para solucionar CVE-2020-1938, CVE-2018-12326, CVE-2018-11218 y CVE-2020-4670, y contactar con el soporte.
- Actualizar PACS a la versión 15 del primer trimestre de 2022 para solucionar CVE-2018-8014 y contactar con el soporte.
Referencias
[1] Philips Vue PACS (Update C) – ICSMA-21-187-01[2] Incenter