Các lỗ hổng trong những sản phẩm theo dõi bệnh nhân của Philips

Hạnh Tâm| 21/09/2020 15:59
Theo dõi ICTVietnam trên

Nhiều lỗ hổng được phát hiện trong các giải pháp theo dõi bệnh nhân của Philips có thể cho phép những kẻ tấn công truy nhập trái phép vào dữ liệu bệnh nhân.

Theo cảnh báo của cơ quan an ninh hạ tầng và an ninh mạng (CISA), Mỹ, tổng cộng có 8 lỗ hổng được xếp ở mức độ nghiêm trọng  thấp và trung bình đã được phát hiện. Tuy nhiên, những tin tặc có kỹ năng thấp cũng có thể khai thác được những lỗ hổng này.

CISA cho biết: "Việc khai thác thành công những lỗ hổng này có thể dẫn tới truy nhập trái phép, gây gián đoạn việc theo dõi bệnh nhân và tin tặc có thể thu thập thông truy nhập hoặc dữ liệu bệnh nhân".

Các lỗ hổng trong những sản phẩm theo dõi bệnh nhân của Philip  - Ảnh 1.

Những lỗ hổng bảo mật được các nhà nghiên cứu ERNW (nhà cung cấp dịch vụ bảo mật CNTT độc lập tại Heidelberg, Đức) phát hiện.

Các lỗ hổng này ảnh hưởng đến những hệ thống theo dõi bệnh nhân IntelliVue Patient Monitor, phần mềm Patient Information Center iX (PIC iX) và PerformanceBridge Focal Point, cho phép những tính năng kích hoạt từ xa.

Cụ thể các lỗ hổng bao gồm: Lỗ hổng được phát hiện có những yếu tố tính toán trung hòa không đúng (CVE-2020-16214), lỗ hổng gây tấn công chèn mã (CVE-2020-16218), xác thực không đúng (CVE-2020-16222), kiểm tra không đúng việc thu hồi chứng thực (CVE-2020-16228), xử lý sai thông số độ dài (CVE-2020-16224), xác thực sai cú pháp đầu vào (CVE-2020-16220), xác thực đầu vào không đúng (CVE-2020-16216) và lộ lọt các tài nguyên vào không gian điều khiển bất hợp pháp (CVE-2020-16212).

Philips đã đưa ra khuyến nghị về những lỗ hổng này, xác nhận tin tặc trình độ thấp cũng có thể khai thác lỗ hổng. Công ty cũng giải thích rằng một tin tặc tìm cách khai thác các lỗ hổng phải "truy nhập vật lý vào các trạm giám sát và các máy theo dõi hoặc truy nhập tới mạng của thiết bị y tế".

Công ty lưu ý: "Không có khai thác công khai nào được phát hiện. Cho đến nay, Philips chưa nhận được bất kỳ báo cáo nào về việc khai thác hoặc các sự cố ở phòng bệnh có liên quan tới vấn đề này".

Philips hiện đang thực hiện các bản phát hành mới để xử lý lỗi: PIC iX sẽ được cập nhật vào cuối năm 2020, các phiên bản N.00 và N.01 sẽ cập nhật vào quý 1 năm 2021, PerformanceBridge Focal Point vào quý 2 năm 2021 và phiên bản IntelliVue M.04 vào cuối năm 2021. Cơ chế thu hồi chứng chỉ sẽ thực hiện vào năm 2023.

Philips cũng khuyến nghị thực hiện các bước giảm thiểu rủi ro như: Cô lập vật lý mạng theo dõi bệnh nhân của Philips khỏi mạng nội bộ của bệnh viện và sử dụng các biện pháp bảo mật thích hợp để hạn chế quyền truy nhập tới mạng giám sát bệnh nhân; Đảm bảo các dịch vụ đăng ký giao thức (simple certificate enrollment protocol - SCEP) đơn giản chỉ chạy khi cần thiết để đăng ký các dịch vụ mới; Sử dụng mật khẩu dài và mang tính duy nhất khi đăng ký các thiết bị mới bằng (SCEP)

Hơn nữa, các nỗ lực đăng nhập trái phép vào ứng dụng PIC iX phải được ngăn chặn thông qua các biện pháp giám sát bảo mật vật lý (máy chủ nên được giữ trong các trung tâm dữ liệu đã được khóa), chỉ cấp quyền truy nhập từ xa tới các máy chủ PIC iX; quyền đăng nhập tới màn hình ở đầu giường bệnh nhân và ứng dụng PIC iX chỉ cấp dựa trên vai trò, ít đặc quyền nhất và chỉ cho phép những người dùng tin cậy.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Các lỗ hổng trong những sản phẩm theo dõi bệnh nhân của Philips
POWERED BY ONECMS - A PRODUCT OF NEKO