Το ελάττωμα XSS στο διαδεδομένο εργαλείο απεικόνισης πολυμέσων εκθέτει τα δεδομένα των ασθενών

Το Vitrea View της Canon Medical είναι ένα ευρέως χρησιμοποιούμενο εργαλείο για την ασφαλή κοινή χρήση ιατρικών εικόνων μεταξύ ακτινολόγων, ιατρών και άλλων παρόχων υγειονομικής περίθαλψης σε μια ομάδα φροντίδας ασθενών. Δύο τρωτά σημεία που ανακαλύφθηκαν πρόσφατα (συλλογικά παρακολουθούνται ως CVE-2022-37461) θα μπορούσαν να επιτρέψουν στους παράγοντες απειλής να έχουν πρόσβαση πολύ περισσότερο από τις ακτίνες Χ. 

Ένα ελάττωμα είναι ένα μη επιβεβαιωμένο αντικατοπτρίζεται δέσμη ενεργειών μεταξύ τοποθεσιών (XSS) σε ένα μήνυμα σφάλματος, σύμφωνα με μια νέα αναφορά από τα SpiderLabs της Trustwave. Ο Jordan Hedges, ο ερευνητής απειλών πίσω από τα ευρήματα, είπε ότι το δεύτερο είναι ένα ξεχωριστό Reflected XSS στον πίνακα διαχείρισης του Vitrea View. 

«Εάν γίνει εκμετάλλευση, αυτά τα τρωτά σημεία θα μπορούσαν να χρησιμοποιηθούν για ανάκτηση πληροφορίες ασθενούς, αποθήκευση εικόνων ή σάρωση και τροποποίηση πληροφοριών, ανάλογα με τα προνόμια που χρησιμοποιούνται κατά τη διάρκεια της συνεδρίας», έγραψε ο Hedges σε ένα Ανάλυση Πέμπτης. "Μπορεί επίσης να γίνει πρόσβαση σε ευαίσθητες πληροφορίες και διαπιστευτήρια για διάφορες υπηρεσίες που είναι ενσωματωμένες στο Vitrea View."

Το Vitrea View πληροί τα διεθνή πρότυπα Ψηφιακής Απεικόνισης και Επικοινωνιών στην Ιατρική (DICOM), σημειώνει η έκθεση, και έτσι ενσωματώνεται με πολλά άλλα πράγματα.

«Το Vitrea View χρησιμοποιείται για τη συγκέντρωση δυνητικά πολλαπλών πηγών και λύσεων για ιατρική απεικόνιση, συμπεριλαμβανομένων ακτίνων Χ, μαγνητικής τομογραφίας, σαρώσεων CRT, τρισδιάστατης απεικόνισης κ.λπ.», λέει στο Dark Reading ο Karl Sigler, ανώτερος διευθυντής έρευνας ασφαλείας στο Trustwave SpiderLabs. 

Πρόσθεσε, «Οι εικόνες σχετίζονται επίσης με τα αρχεία ενός ασθενούς, επομένως αυτές οι ευπάθειες σημαίνουν ότι θα μπορούσε να υπάρχει πληθώρα πληροφοριών που μπορεί να διεισδύσουν (βλάπτοντας το απόρρητο ενός ασθενούς) ή να τροποποιηθούν (ανταλλαγή των ιατρικών εικόνων ενός ασθενούς με άλλες, διαγραφή αρχείων , ή πιθανή τροποποίηση των πληροφοριών του ασθενούς απευθείας).»

Τα τρωτά σημεία ιατρικής απεικόνισης XSS υποβλήθηκαν στην Canon Medial και κυκλοφόρησε μια ενημέρωση κώδικα. Η Hedges συνιστά στους οργανισμούς που χρησιμοποιούν το εργαλείο να το εφαρμόσουν αμέσως.