Canon Medical'in Vitrea View'ı, bir hasta bakım ekibindeki radyologlar, doktorlar ve diğer sağlık hizmeti sağlayıcıları arasında tıbbi görüntüleri güvenli bir şekilde paylaşmak için yaygın olarak kullanılan bir araçtır. Yeni keşfedilen iki güvenlik açığı (toplu olarak CVE-2022-37461 olarak izlenir), tehdit aktörlerinin X ışınlarından çok daha fazlasına erişmesine izin verebilir.
Bir kusur, kimliği doğrulanmamış yansıyan siteler arası komut dosyası oluşturma (XSS) bir hata mesajında, Trustwave'in SpiderLabs raporuna göre. Bulguların arkasındaki tehdit araştırmacısı Jordan Hedges, ikincisinin Vitrea View yönetici panelinde ayrı bir Reflected XSS olduğunu söyledi.
"Eğer istismar edilirse, bu güvenlik açıkları geri almak için kullanılabilir. hasta bilgisi, depolanan görüntüleri veya taramaları kullanabilir ve oturum sırasında kullanılan ayrıcalıklara bağlı olarak bilgileri değiştirebilir," diye yazdı Hedges bir perşembe analizi. "Vitrea View ile entegre çeşitli hizmetler için hassas bilgilere ve kimlik bilgilerine de erişilebilir."
Rapora göre Vitrea View, uluslararası Tıpta Dijital Görüntüleme ve İletişim (DICOM) standartlarını karşılıyor ve bu nedenle diğer birçok şeyle entegre oluyor.
Trustwave SpiderLabs kıdemli güvenlik araştırma yöneticisi Karl Sigler, Dark Reading'e "Vitrea View, X-Ray'ler, MRI'lar, CRT taramaları, 3D görüntüleme vb.
"Görüntüler ayrıca bir hastanın kayıtlarıyla da ilişkilidir, dolayısıyla bu güvenlik açıkları, dışarı sızabilecek (hastanın gizliliğine zarar verebilecek) veya değiştirilebilecek (bir hastanın tıbbi görüntülerini başka biriyle değiştirmek, kayıtları silmek) potansiyel olarak zengin bir bilgi olabileceği anlamına gelir." veya potansiyel olarak hasta bilgilerini doğrudan değiştirme).”
XSS tıbbi görüntüleme güvenlik açıkları Canon Medial'a bildirildi ve bir yama yayınlandı. Hedges, aracı çalıştıran kuruluşların aracı hemen uygulamasını önerir.
