Vitrea View от Canon Medical — это широко используемый инструмент для безопасного обмена медицинскими изображениями между рентгенологами, врачами и другими медицинскими работниками в команде по уходу за пациентами. Две недавно обнаруженные уязвимости (вместе отслеживаемые как CVE-2022-37461) могут позволить злоумышленникам получить доступ к гораздо большему, чем просто рентгеновские снимки.
Один недостаток - неаутентифицированный отраженный межсайтовый скриптинг (XSS) в сообщении об ошибке, согласно новому отчету SpiderLabs Trustwave. Джордан Хеджес, исследователь угроз, стоящий за находками, сказал, что второй — это отдельный Reflected XSS в панели администратора Vitrea View.
«В случае эксплуатации эти уязвимости могут быть использованы для извлечения информация о пациенте, сохраненные изображения или сканы, а также изменять информацию в зависимости от привилегий, использованных во время сеанса», — написал Хеджес в своем сообщении. Четверг анализ. «Также можно получить доступ к конфиденциальной информации и учетным данным для различных сервисов, интегрированных с Vitrea View».
Vitrea View соответствует международным стандартам цифровой визуализации и коммуникаций в медицине (DICOM), отмечается в отчете, и, таким образом, интегрируется со многими другими устройствами.
«Vitrea View используется для централизации потенциально нескольких источников и решений для медицинской визуализации, включая рентгеновские снимки, МРТ, ЭЛТ-сканирование, 3D-изображения и т. д.», — рассказал Dark Reading Карл Сиглер, старший менеджер по исследованиям безопасности в Trustwave SpiderLabs.
Он добавил: «Изображения также связаны с записями пациентов, поэтому эти уязвимости означают, что потенциально может существовать огромное количество информации, которая может быть удалена (повреждение конфиденциальности пациента) или изменена (замена медицинских изображений пациента другими, удаление записей). или потенциальное изменение информации о пациенте напрямую)».
Уязвимости XSS для медицинских изображений были отправлены в Canon Medial, и для них был выпущен патч. Хеджес рекомендует организациям, использующим этот инструмент, немедленно применить его.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
