0
0
As falhas foram identificadas por pesquisadores da empresa de segurança cibernética industrial Nozomi Networks
A Philips e a Agência de Cibersegurança dos EUA (CISA) publicaram alertas sobre vulnerabilidades em dispositivos de Ioc (internet das coisas) produzidos pela empresa: as falhas foram identificadas por pesquisadores da empresa de segurança cibernética industrial Nozomi Networks na Philips IntelliBridge, no Patient Information Center iX (PIC iX) e nos produtos da série Efficia CM. A Philips informou que já está trabalhando em patches para as vulnerabilidades e já publicou a solução para um dos problemas que afetam o PIC iX. Para os problemas restantes, a empresa espera fornecer soluções até o final de 2021 e final de 2022. Para mitigar riscos nesse intervalo, o fornecedor compartilhou recomendações que reduzem o risco de exploração das falhas.
O comunicado da CISA descreve duas vulnerabilidades de alta gravidade encontradas nos sistemas de monitoramento de pacientes IntelliBridge EC 40 e EC 80 Hub, que integram dispositivos de ponto de atendimento com sistemas de informações hospitalares. As falhas estão relacionadas ao uso de credenciais codificadas e desvio de autenticação.
“A exploração bem-sucedida desses problemas pode permitir que um invasor tenha acesso não autorizado ao hub Philips IntelliBridge EC40 / 80 e pode permitir o acesso para executar software, modificar a configuração do dispositivo ou visualizar / atualizar arquivos, incluindo dados não identificáveis do paciente”, diz a Philips em seu comunicado. “As vulnerabilidades podem ser potencialmente exploradas na rede de monitoramento de pacientes Philips, que deve ser fisicamente ou logicamente isolada da rede local do hospital (LAN)”.
No sistema de monitoramento de paciente PIC iX e nos monitores de paciente da série Efficia CM, os pesquisadores da Nozomi descobriram três problemas de gravidade média relacionados à validação de entrada inadequada, o uso de algoritmos criptográficos fracos e o uso de chaves criptográficas codificadas.
“A exploração bem-sucedida dessas vulnerabilidades pode permitir a um invasor acesso não autorizado aos dados (incluindo dados do paciente) e negação de serviço, resultando na interrupção temporária da visualização de dados fisiológicos na estação central. A exploração não permite a modificação ou alteração de dispositivos de ponto de atendimento ”, disse a Philips.
Para os casos em que o monitor de paciente não é fabricado pela Philips, mas por outros fornecedores, a Philips vende o IntelliBridge, um dispositivo que converte os dados de monitor de paciente de terceiros em um formato que pode ser ingerido pelo PIC iX
A Philips apontou em seus comunicados que não há evidências de exploração maliciosa ou quaisquer outros incidentes causados por essas vulnerabilidades. No caso dos hubs IntelliBridge, a empresa diz que é “improvável que essa vulnerabilidade potencial tenha impacto no uso clínico”. Os CVEs informados são os seguintes:
- CVE-2021-43548 é um DOS remoto que afeta o PIC iX, onde um invasor de rede pode fazer o PIC iX reiniciar e, assim, perder todos os dados enviados por um monitor de paciente
- CVE-2021-43552 diz respeito ao formato dos backups dos dados do paciente produzidos pelo PIC iX, essencialmente, eles são criptografados com uma chave codificada.
- CVE-2021-43550 diz respeito ao algoritmo de criptografia usado pelos monitores de paciente Philips Efficia CM, essencialmente, os dados do paciente enviados pela rede são criptografados com o serial do dispositivo, que também deve ser enviado claro pela rede
- CVE-2021-32993 e CVE-2021-33017, em vez disso, afetam a interface de gerenciamento da web dos dispositivos Intellibridge EC40 / 80, que podem ser comprometidos (há também um terceiro vuln afetando este dispositivo que deve ser publicado em algum momento)
FONTE: CISO ADVISOR