Vitrea View

2022: Нахождение дыр, используемых для несанкционированного удаленного управления

В конце сентября 2022 года стало известно о том, что в медоборудовании Canon нашли дыры, используемые для несанкционированного удаленного управления. Проблемы связаны с программным обеспечением Vitrea View от Canon Medical - там выявлены уязвимости в системе кибербезопасности, которые могут поставить под угрозу информацию о пациентах.

Специалисты по ИБ-безопасности из Trustwave обнаружил две уязвимости в Vitrea View, которые могут позволить злоумышленнику получить доступ к информации о пациентах, потенциально изменить ее, а также получить доступ к конфиденциальной информации и учетным данным для других служб, интегрированных с платформой. Vitrea View - это инструмент, который используется для просмотра медицинских изображений и других документов.

Vitrea View

Эта уязвимость потенциально влияет только на доступ, просмотр и обновление любой информации о медицинских изображениях, интегрированной с платформой Vitrea! Изображения также связаны с записями пациента, поэтому потенциально существует огромное количество информации, которая может быть эксфильтрирована (нарушение конфиденциальности пациента) или изменена (замена медицинских изображений пациента на другие, удаление записей или потенциальное изменение информации о пациенте напрямую), - сказал исследователь ИБ-безопасности из Trustwave Джордан Хеджес (Jordan Hedges).

В Trustwave сообщили в совеем заявлении, что оборудование, изначально используемое для создания изображений, например, рентгеновские сканеры или аппараты МРТ, не может быть затронуто. Компания связалась с Canon Medical по поводу уязвимостей, и разработала исправление для устранения проблем в версии 7.7.6, согласно сообщению. В Trustwave заявили, что у них нет данных о том, сколько записей пациентов или клиентов Cannon Medical были потенциально подвержены риску из-за уязвимости.^[1]