رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
1399-01-04 20:20
تنظیم اندازه قلم

پ

1:57
کد خبر: 138552

فیلیپس نه آسیب‌پذیری امنیتی در مورد دستگاه‌های خود را گزارش داده است

فیلیپس یکی از محصولاتش را ارزیابی کرد و دریافت که آن 9 مورد آسیب‌پذیری امنیتی مختلف دارد.

inform_act_resolve.png

یک تیم مشاوره از سیستم‌های کنترل صنعتی Cyber Emergency Response Team ‪(ICS-CERT)‬ در روز پنج‌شنبه آسیب‌پذیری‌هایی را در واحد هشدار Philips نشان می‌دهد که هشدار می‌دهد این دستگاه در صورت دسترسی به اینترنت و یا شبکه محلی، از راه دور قابل بهره‌برداری می‌باشد.

مشکلات امنیتی بر روی نسخه‌های R2.1 و محصولات قبل تاثیر می‌گذارد. درجه شدت آن‌ها از متوسط تا افشای اطلاعات سیستم عامل و اجزای نرم‌افزاری برای بحرانی نمودن اعتبار سخت‌افزاری می‌باشد.

واحد هشدار فیلیپس یک راه حل است که عملکرد سیستم‌های تصویربرداری پزشکی را کنترل می‌کند. این به خودی خود دستگاه پزشکی نیست اما هشدار می‌دهد که پارامترهای کلیدی در دستگاه‌های MRI ناقص هستند.

"بهره‌برداری موفقیت‌آمیز یک مهاجم از همان زیر‌شبکه ممکن است اطلاعات تماس کاربر، یکپارچگی واحد ویا در دسترس بودن واحد را تحت تاثیر قرار دهد. مرکز مشاوره ICS-CERT اعلام می‌کند که آسیب‌پذیری‌ها ممکن است مهاجمان را قادر به ارائه ورودی‌های غیر‌منتظره به برنامه، اجرای کد دلخواه، نمایش اطلاعات واحد، یا به طور بالقوه موجب سقوط گردد.

آسیب‌پذیری‌ها به شرح زیر است:

1- Improper input validation ‪(CVE-2018-8850)‬ - تولید ورودی‌های مخرب در یک فرم می‌تواند منجر به تغییر کنترل جریان، کنترل دلخواه یک منبع یا اجرای کد دلخواه شود
2- Cross-site scripting  ‪(CVE-2018-8846)‬ – خنثی‌سازی نادرست ورودی در طول تولید صفحات وب
3- Information exposure ‪(CVE-2018-14803)‬ - مهاجم می‌تواند جزئیات مربوط به محصول را که می‌تواند برای حمله استفاده شود، به دست آورد
4- Incorrect default permissions ‪(CVE-2018-884)‬ – نرم‌افزار مجوزهای نادرست را در طول نصب، نصب می‌کند
5- Sending data in cleartext ‪(CVE-2018-8842)‬ -  داده‌های مهم امنیتی، بیش از یک کانال رمزگذاری نشده ارسال می‌شود که این می‌تواند اطلاعات تماس شخصی و ورود به سیستم را افشا کند.
6- Cross-site request forgery ‪(CVE-2018-8844)‬ -  تایید ناقص منبع درخواست
7- Session fixation ‪(CVE-2018-8852)‬ - مهاجم می‌تواند تصدیق یک جلسه تأیید شده را بدون تایید هر شناسه جلسه برباید.
8- Resource exhaustion ‪(CVE-2018-8854)‬ -  نرم‌افزار در محدود نمودن منابع شکست می‌خورد.
9- Use of hardcoded credentials ‪(CVE-2018-8856)‬ - نرم‌افزار رمزنگاری داده‌های داخلی را با استفاده از کلید رمزنگاری سخت‌افزاری، رمز‌گذاری می‌کند؛ اگر مهاجمی با استفاده از مهندسی معکوس این رمز نرم‌افزار را پیدا کرده باشد می‌تواند در هر نرم‌افزار هشدار Philips استفاده کند.
در ماه ژوئن، فیلیپس یک بروز‌رسانی کرد که برخی از مشکلات را از جمله مدارک معتبر سخت افزاری را حذف کرد.

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط