Canon Medical의 Vitrea View는 방사선 전문의, 의사 및 환자 치료 팀의 다른 의료 제공자 간에 의료 이미지를 안전하게 공유하기 위해 널리 사용되는 도구입니다. 새로 발견된 두 가지 취약점(통칭 CVE-2022-37461로 추적됨)은 위협 행위자가 X-ray보다 훨씬 더 많은 것에 액세스할 수 있도록 허용할 수 있습니다.
한 가지 결함은 인증되지 않은 반영된 교차 사이트 스크립팅(XSS) 오류 메시지에서 Trustwave의 SpiderLabs의 새로운 보고서에 따르면. 이 발견의 배후에 있는 위협 연구원인 Jordan Hedges는 두 번째는 Vitrea View 관리자 패널에 있는 별도의 Reflected XSS라고 말했습니다.
“이러한 취약점이 악용될 경우 환자 정보, 저장된 이미지 또는 스캔하고 세션 중에 사용된 권한에 따라 정보를 수정합니다.”라고 Hedges는 다음과 같이 썼습니다. 목요일 분석. "Vitrea View와 통합된 다양한 서비스에 대한 민감한 정보 및 자격 증명도 액세스할 수 있었습니다."
Vitrea View는 국제 DICOM(Digital Imaging and Communications in Medicine) 표준을 충족하므로 다른 많은 것들과 통합됩니다.
"Vitrea View는 X-Ray, MRI, CRT 스캔, 3D 이미징 등 의료 이미징을 위한 잠재적으로 여러 소스와 솔루션을 중앙 집중화하는 데 사용됩니다."라고 Trustwave SpiderLabs의 수석 보안 연구 관리자인 Karl Sigler는 Dark Reading에 말했습니다.
그는 “이미지는 환자의 기록과도 연관되어 있기 때문에 이러한 취약성은 잠재적으로 유출(환자의 기밀 유지 손상)되거나 수정(환자의 의료 이미지를 다른 것으로 교체, 기록 삭제)될 수 있는 풍부한 정보가 있을 수 있음을 의미합니다. , 또는 잠재적으로 환자 정보를 직접 수정).”
XSS 의료 영상 취약점이 Canon Medial에 제출되었으며 패치가 출시되었습니다. Hedges는 도구를 실행하는 조직이 즉시 적용할 것을 권장합니다.
