Vitrea View dari Canon Medical adalah alat yang banyak digunakan untuk berbagi gambar medis secara aman antara ahli radiologi, dokter, dan penyedia layanan kesehatan lainnya dalam tim perawatan pasien. Dua kerentanan yang baru ditemukan (secara kolektif dilacak sebagai CVE-2022-37461) memungkinkan pelaku ancaman mengakses lebih dari sekadar sinar-X.
Salah satu kelemahannya adalah tidak diautentikasi mencerminkan skrip lintas situs (XSS) dalam pesan kesalahan, menurut laporan baru dari SpiderLabs Trustwave. Jordan Hedges, peneliti ancaman di balik temuan tersebut, mengatakan yang kedua adalah Reflected XSS terpisah di panel admin Vitrea View.
โJika dieksploitasi, kerentanan ini dapat digunakan untuk mengambil kembali informasi pasien, menyimpan gambar, atau memindai, dan mengubah informasi, bergantung pada hak istimewa yang digunakan selama sesi tersebut,โ tulis Hedges dalam a Analisis Kamis. โInformasi sensitif dan kredensial untuk berbagai layanan yang terintegrasi dengan Vitrea View juga dapat diakses.โ
Vitrea View memenuhi standar internasional Pencitraan dan Komunikasi Digital dalam Kedokteran (DICOM), catat laporan tersebut, dan dengan demikian terintegrasi dengan banyak hal lainnya.
โVitrea View digunakan untuk memusatkan berbagai sumber dan solusi untuk pencitraan medis, termasuk X-Ray, MRI, pemindaian CRT, pencitraan 3D, dll.,โ Karl Sigler, manajer riset keamanan senior di Trustwave SpiderLabs, mengatakan kepada Dark Reading.
Dia menambahkan, โGambar-gambar tersebut juga dikaitkan dengan catatan pasien, sehingga kerentanan ini berarti bahwa ada potensi banyak informasi yang mungkin dieksfiltrasi (merusak kerahasiaan pasien) atau dimodifikasi (menukar gambar medis pasien dengan gambar medis lain, menghapus catatan). , atau berpotensi mengubah informasi pasien secara langsung).
Kerentanan pencitraan medis XSS telah dikirimkan ke Canon Medial dan patch telah dirilis. Hedges menyarankan organisasi yang menjalankan alat ini untuk segera menerapkannya.
