0
0
A Agência de Segurança Cibernética & Segurança de Infraestrutura dos EUA (CISA) emitiu um aviso que diz que o software não realiza qualquer autenticação para funcionalidade crítica do sistema.
A Philips planeja lançar uma nova versão do sistema antes de julho de 2022 para sanar a vulnerabilidade. “Em relação à divulgação coordenada de vulnerabilidade do e-Alert, a Philips emitiu de forma proativa e voluntária um aviso sobre uma vulnerabilidade potencial de gravidade moderada (pontuação CVSS 6.5 de 10) para a solução de hardware e-Alert da Philips, versões 2.7 e anteriores. Até o momento, a Philips não recebeu nenhum relato de exploração dessa vulnerabilidade. A solução de hardware e-Alert da Philips não é um dispositivo médico, portanto não há risco para a segurança do paciente”, disse Mario Fante, assessor sênior de imprensa da Philips, ao HCB News.
Se um usuário não autorizado obter acesso e emitir um comando de desligamento remoto não autenticado, isso fará com que a solução de hardware e-Alert pare de funcionar corretamente. Restaurá-lo exigirá ligá-lo manualmente e depois voltar.
“As consequências dependerão da funcionalidade associada, mas podem variar desde a leitura ou modificação de dados confidenciais, acesso a funcionalidades administrativas ou outras tecnologias privilegiadas ou, possivelmente, até mesmo a execução de código arbitrário”, disse a CISA em seu relatório sobre a falha de segurança.
A Philips recomenda que todos os usuários cumpram suas especificações autorizadas ao usar seus produtos, incluindo controles físicos e lógicos. Também diz que os provedores devem tomar medidas para garantir que apenas o pessoal autorizado possa acessar a rede e os dispositivos conectados a ela.
A empresa relatou a vulnerabilidade publicamente e a órgãos governamentais apropriados, incluindo a CISA. Os usuários com dúvidas devem entrar em contato com o Customer Success Manager da Philips, a equipe local de suporte de serviços da Philips ou o suporte de serviço regional.
A CISA recomenda que os provedores minimizem a exposição da rede a todos os dispositivos e sistemas conectados ao produto para garantir que eles não possam ser acessados pela internet. Também diz que os usuários devem configurar firewalls para isolar redes de sistemas de controle e dispositivos remotos da rede de negócios. Além disso, recomenda verificar e atualizar redes virtuais privadas para a versão mais atual disponível. “A VPN é tão segura quanto seus dispositivos conectados”, escreveu.
FONTE: DOTMED