De multiples vulnérabilités de sécurité ont été divulguées dans le portail Philips Clinical Collaboration Platform (alias Vue PACS), dont certaines pourraient être exploitées par un adversaire pour prendre le contrôle d’un système affecté.
« L’exploitation réussie de ces vulnérabilités pourrait permettre à une personne ou à un processus non autorisé d’écouter, d’afficher ou de modifier des données, d’accéder au système, d’exécuter du code, d’installer des logiciels non autorisés ou d’affecter l’intégrité des données du système de manière à avoir un impact négatif sur la confidentialité, l’intégrité , ou la disponibilité du système », l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) c’est noté dans un avis.
Les 15 défauts impactent :
- Systèmes d’archivage et de communication d’images VUE (versions 12.2.xx et antérieures),
- Vue MyVue (versions 12.2.xx et antérieures),
- Vue Speech (versions 12.2.xx et antérieures), et
- Vue Motion (versions 12.2.1.5 et antérieures)
Quatre des problèmes (CVE-2020-1938, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670 et CVE-2018-8014) ont reçu un score de base CVSS (Common Vulnerability Scoring System) de 9.8, et concernent une mauvaise validation des données d’entrée ainsi que des vulnérabilités introduites par des failles précédemment corrigées dans Redis.
Un autre défaut grave (CVE-2021-33020, score CVSS : 8,2) est causé par l’utilisation par la plate-forme Vue de clés cryptographiques au-delà de leur date d’expiration établie, « ce qui diminue considérablement sa sécurité en augmentant la fenêtre de temps pour le craquage des attaques contre cette clé ».
D’autres faiblesses impliquent l’utilisation d’un algorithme cryptographique défectueux ou risqué (CVE-2021-33018), une attaque de script inter-sites lors de la gestion des entrées contrôlables par l’utilisateur (CVE-2015-9251), des méthodes non sécurisées pour protéger les informations d’authentification (CVE-2021 -33024), une initialisation incorrecte ou incorrecte des ressources (CVE-2018-8014) et un non-respect des normes de codage (CVE-2021-27501) qui pourraient augmenter la gravité des autres vulnérabilités.
Alors que Philips a corrigé certaines des lacunes dans le cadre de ses mises à jour expédiées en juin 2020 et mai 2021, la société néerlandaise de soins de santé devrait corriger le reste des problèmes de sécurité dans la version 15 de Speech, MyVue et PACS qui est actuellement en développement et sortie prévue au premier trimestre 2022.
Dans l’intervalle, la CISA exhorte les entités à minimiser l’exposition du réseau pour tous les périphériques du système de contrôle et à s’assurer qu’ils ne sont pas accessibles depuis Internet, à segmenter les réseaux du système de contrôle et les périphériques distants derrière des pare-feu, et à utiliser des réseaux privés virtuels (VPN) pour un accès distant sécurisé. .