Vitrea View від Canon Medical — це широко використовуваний інструмент для безпечного обміну медичними зображеннями між радіологами, лікарями та іншими постачальниками медичних послуг у групі догляду за пацієнтами. Дві нещодавно виявлені вразливості (загалом відстежуються як CVE-2022-37461) можуть надати зловмисникам доступ до набагато більшого, ніж рентгенівське зображення.
Один недолік — неавтентифікація відображені міжсайтові сценарії (XSS) у повідомленні про помилку, згідно з новим звітом SpiderLabs Trustwave. Джордан Хеджес, дослідник загроз, що стоїть за знахідками, сказав, що другий — це окремий Reflected XSS в панелі адміністратора Vitrea View.
«У разі експлуатації ці вразливості можна використати для відновлення інформацію про пацієнта, збережені зображення або сканування, а також змінювати інформацію залежно від привілеїв, які використовуються під час сеансу», – написав Хеджес у Аналіз у четвер. «Також можна отримати доступ до конфіденційної інформації та облікових даних для різних служб, інтегрованих із Vitrea View».
Vitrea View відповідає міжнародним стандартам Digital Imaging and Communications in Medicine (DICOM), зазначається у звіті, і тому інтегрується з багатьма іншими речами.
«Vitrea View використовується для централізації потенційно кількох джерел і рішень для медичної візуалізації, включаючи рентгенівські промені, магнітно-резонансну томографію, сканування ЕПТ, 3D-зображення тощо», — розповідає Dark Reading Карл Сіглер, старший менеджер з досліджень безпеки Trustwave SpiderLabs.
Він додав: «Зображення також пов’язані з документами пацієнта, тому ці вразливості означають, що потенційно може існувати величезна кількість інформації, яку можна викрасти (порушити конфіденційність пацієнта) або змінити (заміна медичних зображень пацієнта іншим, видалення записів). , або потенційно безпосередньо змінювати інформацію про пацієнта).»
Уразливості медичного зображення XSS було надіслано в Canon Medial, і було випущено виправлення. Hedges рекомендує організаціям, які використовують інструмент, застосувати його негайно.