Wykryto lukę w oprogramowaniu urządzenia do obrazowania układu sercowo-naczyniowego firmy Philips

Według raportu agencji bezpieczeństwa cve-2018-14787 jest to problem z zarządzaniem uprawnieniami.W produktach Intellispace cardio (iscv) firmy Philips (iscv w wersji 2. X lub wcześniejszej oraz Xcelera w wersji 4.1 lub wcześniejszej) „atakujący z uprawnieniami do aktualizacji (w tym uwierzytelnieni użytkownicy) mogą uzyskać dostęp do folderu plików wykonywalnych z uprawnieniami do zapisu, a następnie wykonać dowolny kod z lokalnymi prawami administracyjnymi”, czytamy w komunikacie, „Pomyślne wykorzystanie tych luk może pozwolić atakującym z lokalnymi prawami dostępu i użytkownikom serwera iscv / Xcelera na aktualizację uprawnień na serwerze i wykonanie dowolnego kodu”

W ogłoszeniu stwierdzono, że drugą słabością ogłoszoną w cve-2018-14789 jest iscv w wersji 3.1 lub wcześniejszej oraz Xcelera w wersji 4.1 lub wcześniejszej, i wskazano, że „zidentyfikowano niecytowaną ścieżkę wyszukiwania lub lukę w elemencie, która może pozwolić atakującym na wykonanie arbitralnych kodu i zwiększyć swój poziom uprawnień”

W odpowiedzi na komunikat dotyczący bezpieczeństwa Philips poinformował, że „efektem potwierdzenia reklamacji złożonej przez klientów” jest około 20 usług Windows na serwerach iscv w wersji 2.X i wcześniejszych oraz Xcelera 3x – 4.X, których plik wykonywalny istnieje w folder, któremu przyznano uprawnienie do zapisu uwierzytelnionemu użytkownikowi” Usługi te działają jako lokalne konta administratora lub lokalne konta systemowe, a jeśli użytkownik zastąpi jeden z plików wykonywalnych innym programem, program będzie również korzystał z uprawnień lokalnego administratora lub lokalnego systemu , „Philips sugeruje.Zaleca również, aby „w iscv w wersji 3. X i wcześniejszych oraz Xcelera 3. X – 4. X było 16 usług Windows bez cudzysłowów w ich nazwach ścieżek”. Usługi te działają z uprawnieniami administratora lokalnego i można je uruchomić za pomocą kluczy rejestru, co może zapewnić atakującemu sposób na umieszczenie plików wykonywalnych, które przyznają uprawnienia administratora lokalnego.“


Czas postu: grudzień-10-2021