Vitrea View van Canon Medical is een veelgebruikt hulpmiddel voor het veilig delen van medische beelden tussen radiologen, artsen en andere zorgverleners in een patiëntenzorgteam. Twee nieuw ontdekte kwetsbaarheden (gezamenlijk gevolgd als CVE-2022-37461) kunnen bedreigingsactoren toegang geven tot veel meer dan alleen röntgenfoto's.
Een fout is een niet-geverifieerde weerspiegelt cross-site scripting (XSS) in een foutmelding, volgens een nieuw rapport van Trustwave's SpiderLabs. Jordan Hedges, de dreigingsonderzoeker achter de vondsten, zei dat de tweede een aparte Reflected XSS is in het Vitrea View-beheerderspaneel.
“Als misbruik wordt gemaakt, kunnen deze kwetsbaarheden worden gebruikt om ze op te halen patiënt informatie, opgeslagen afbeeldingen of scans, en wijzig informatie, afhankelijk van de privileges die tijdens de sessie worden gebruikt”, schreef Hedges in een Donderdag analyse. "Gevoelige informatie en inloggegevens voor verschillende diensten die met Vitrea View zijn geïntegreerd, kunnen ook worden geopend."
De Vitrea View voldoet aan internationale Digital Imaging and Communications in Medicine (DICOM)-standaarden, merkt het rapport op, en integreert dus met veel andere dingen.
"Vitrea View wordt gebruikt om mogelijk meerdere bronnen en oplossingen voor medische beeldvorming te centraliseren, waaronder röntgenfoto's, MRI's, CRT-scans, 3D-beeldvorming, enz.", Vertelt Karl Sigler, senior security research manager bij Trustwave SpiderLabs, aan Dark Reading.
Hij voegde eraan toe: "De afbeeldingen zijn ook gekoppeld aan de dossiers van een patiënt, dus deze kwetsbaarheden betekenen dat er mogelijk een schat aan informatie kan zijn die kan worden geëxfiltreerd (de vertrouwelijkheid van een patiënt wordt geschaad) of gewijzigd (de medische beelden van een patiënt uitwisselen met die van een andere, dossiers wissen). , of mogelijk rechtstreeks patiëntinformatie wijzigen).”
De XSS-kwetsbaarheden voor medische beeldvorming zijn ingediend bij Canon Medial en er is een patch uitgebracht. Hedges raadt organisaties die de tool gebruiken aan om deze onmiddellijk toe te passen.
