匿名小费有助于改善医疗保健安全格局
几个高分漏洞美国当局警告说,在用于远程管理除颤器设备的软件中可能导致远程代码执行或丢失敏感信息,美国当局警告说。
除颤器仪表板由总部位于美国的医疗技术供应商Zoll开发,可让医疗专业人员监视其“舰队”除颤器的“机队”。
发现了几个漏洞,包括无限制的文件上传缺陷(接近最大的CVSS得分为9.9),一个跨站脚本((XSS)错误,不安全的密码存储和特权升级问题。
这些缺陷是匿名报告给美国网络安全和基础设施机构(CISA)的,然后使供应商能够开发必要的补丁,咨询说明。
“成功剥削这些漏洞可以允许远程代码执行,允许攻击者获得凭证的访问权限或影响申请的机密性,完整性和可用性。” CISA说。
多个漏洞
除颤器仪表板缺陷的得分最高的是无限制的文件上传漏洞(CVE-2021-27489)。这可以允许非Admin用户上传恶意文件,使他们能够远程执行任意命令。
使用硬编码的加密密钥(CVE-2021-27481)可以使攻击者获得访问权限敏感的信息,尽管受影响的产品还包含纯文本中存储的凭据(CVE-2021-27487),也允许访问敏感信息。
XSS缺陷(CVE-2021-27479)可以允许低特权用户注入参数包含较高特权用户执行的恶意脚本。
该应用程序的未列出版本允许用户以可恢复的格式存储其密码(CVE-2021-27485),这可以允许攻击者从Web中检索凭据beplay体育能用吗浏览器。
最后,不正确的特权管理缺陷(CVE-2021-27483)包含不安全的文件系统权限,可以使较低的特权用户能够将特权升级为管理级别的用户。
立即更新
这些漏洞已在最新版本的除颤器破折号中修复
董事会(2.2版),建议客户将其软件更新为2.2版,如果尚未将其更新为2.2版。
在发送给每日swbeplay2018官网igZoll说,“重要的是要注意,这些漏洞与除颤器的基于软件的监视解决方案有关,而不是除颤器本身的功能。”
ThycoticCentrify的首席安全科学家约瑟夫·卡森(Joseph Carson)告诉每日swbeplay2018官网ig诸如在清晰文本中存储凭证之类的漏洞“不幸的是太普遍了”。
卡森补充说:“ CVSS V3分数为9.9,鉴于可以远程利用它并且具有低复杂性额定值。不用说使用此服务的任何人都必须尽快升级。”
Zoll发言人说:“除了解决这一特定问题的步骤之外,Zoll不断增强其软件开发安全程序。
“从安全研究人员社区中学到的内部风险评估和经验教训不断提高,Zoll的软件开发过程使用广泛集成的代码检查工具,这些工具比以往任何时候都更强大。”
Cerberus Sentinel的董事总经理Christian Espinosa更普遍地谈论医务人员如何保护自己免受漏洞的侵害。每日swbeplay2018官网ig:“医院和诊所应将医疗设备放在单独的VLAN上,这仅允许设备流量到设备需要与设备进行通信的系统。
“这可以最大程度地减少该设备被损害的风险,并在设备受到损害的情况下最大程度地减少对其他医院和诊所系统的接触。”
