O Vitrea View da Canon Medical é uma ferramenta amplamente usada para compartilhar imagens médicas com segurança entre radiologistas, médicos e outros profissionais de saúde em uma equipe de atendimento ao paciente. Duas vulnerabilidades recém-descobertas (monitoradas coletivamente como CVE-2022-37461) podem permitir que os agentes de ameaças acessem muito mais do que raios-X.
Uma falha é um não autenticado script entre sites refletido (XSS) em uma mensagem de erro, de acordo com um novo relatório do SpiderLabs da Trustwave. Jordan Hedges, o pesquisador de ameaças por trás das descobertas, disse que o segundo é um Reflected XSS separado no painel de administração do Vitrea View.
“Se exploradas, essas vulnerabilidades poderiam ser usadas para recuperar informação do paciente, imagens armazenadas ou varreduras e modificar informações, dependendo dos privilégios usados durante a sessão”, escreveu Hedges em um Análise de quinta-feira. “Também é possível acessar informações confidenciais e credenciais para vários serviços integrados ao Vitrea View.”
O Vitrea View atende aos padrões internacionais de Digital Imaging and Communications in Medicine (DICOM), observa o relatório, e, portanto, integra-se a muitas outras coisas.
“O Vitrea View é usado para centralizar fontes e soluções potencialmente múltiplas para imagens médicas, incluindo raios X, ressonâncias magnéticas, varreduras CRT, imagens 3D, etc.”, disse Karl Sigler, gerente sênior de pesquisa de segurança da Trustwave SpiderLabs, à Dark Reading.
Ele acrescentou: “As imagens também estão associadas aos registros de um paciente, portanto, essas vulnerabilidades significam que pode haver uma riqueza de informações que podem ser exfiltradas (prejudicando a confidencialidade de um paciente) ou modificadas (trocando as imagens médicas de um paciente por outras, excluindo registros , ou potencialmente modificando as informações do paciente diretamente).
As vulnerabilidades de imagens médicas XSS foram enviadas à Canon Medial e um patch foi lançado. Hedges recomenda que as organizações que executam a ferramenta a apliquem imediatamente.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
