Napaka XSS v razširjenem orodju za slikanje medijev razkrije množico podatkov o bolnikih

Vitrea View podjetja Canon Medical je široko uporabljeno orodje za varno izmenjavo medicinskih slik med radiologi, zdravniki in drugimi ponudniki zdravstvenih storitev v ekipi za nego bolnikov. Dve na novo odkriti ranljivosti (skupaj označeni kot CVE-2022-37461) bi lahko akterjem groženj omogočili dostop do veliko več kot rentgenskih žarkov. 

Ena pomanjkljivost je nepotrjena odraženo skriptiranje med spletnimi mesti (XSS) v sporočilu o napaki, glede na novo poročilo Trustwave's SpiderLabs. Jordan Hedges, raziskovalec groženj, ki stoji za najdbami, je dejal, da je drugi ločen Reflected XSS v skrbniški plošči Vitrea View. 

»Če bi jih izkoristili, bi lahko te ranljivosti uporabili za povrnitev podatke o bolniku, shranjene slike ali skeniranje ter spreminjanje informacij, odvisno od privilegijev, uporabljenih med sejo,« je Hedges zapisal v Četrtkova analiza. "Lahko bi bilo dostopati tudi do občutljivih informacij in poverilnic za različne storitve, integrirane z Vitrea View."

Vitrea View izpolnjuje mednarodne standarde za digitalno slikanje in komunikacije v medicini (DICOM), ugotavlja poročilo, in se tako integrira z mnogimi drugimi stvarmi.

»Vitrea View se uporablja za centralizacijo potencialno več virov in rešitev za medicinsko slikanje, vključno z rentgenskimi žarki, MRI, CRT skeniranjem, 3D slikanjem itd.,« je za Dark Reading povedal Karl Sigler, višji vodja varnostnih raziskav pri Trustwave SpiderLabs. 

Dodal je: »Slike so povezane tudi s pacientovo kartoteko, zato te ranljivosti pomenijo, da bi lahko obstajala množica informacij, ki bi jih lahko izločili (škodovali pacientovi zaupnosti) ali spremenili (zamenjava pacientove medicinske slike z drugo, brisanje zapisov). , ali morebitno neposredno spreminjanje podatkov o bolniku).«

Ranljivosti XSS medicinskega slikanja so bile predložene podjetju Canon Medial in izdan je bil popravek. Hedges priporoča organizacijam, ki uporabljajo orodje, da ga takoj uporabijo.