เตือน 9 ช่องโหว่บนผลิตภัณฑ์ของ Philips e-Alert

Philips บริษัทผู้ผลิตเครื่องใช้อิเล็กทรอนิกส์สัญชาติดัตช์ออกมาแจ้งเตือนถึงช่องโหว่บนผลิตภัณฑ์ Philips e-Alert Unit ของตนเองรวม 9 ราย หลังทำการตรวจประเมินผลิตภัณฑ์ของตน หนึ่งในนั้นเป็นช่องโหว่ความรุนแรงระดับ Critical คะแนน CVSS v3 9.8 จาก 10 ซึ่งเป็นการ Hardcoded Credentials

Credit: Philips.co.uk

Industrial Controls Systems Cyber Emergency Response Team (ICS-CERT) ออก Security Advisory เมื่อวันพฤหัสบดีที่ผ่านมา โดยอธิบายถึงช่องโหว่ที่พบบน Philips e-Alert Unit ซึ่งเป็นโซลูชันสำหรับเฝ้าระวังประสิทธิภาพของการถ่ายภาพทางการแพทย์ เช่น แจ้งเตือนเมื่อพบว่าพารามิเตอร์สำคัญบนเครื่อง MRI มีความผิดปกติ

ช่องโหว่ดังกล่าวส่งผลกระทบต่อเวอร์ชัน R2.1 และก่อนหน้านั้น มีระดับความรุนแรงตั้งแต่ Medium ซึ่งช่วยให้แฮ็กเกอร์สามารถแอบขโมยข้อมูลเกี่ยวกับระบบปฏิบัติการและซอฟต์แวร์ ไปจนถึง Critical ซึ่งเป็นการ Hardcoded Credentials โดยทั้งหมดนี้อาจถูกโจมตีจากระยะไกลได้ถ้าเชื่อมต่อกับระบบอินเทอร์เน็ต

ช่องโหว่ทั้ง 9 รายการประกอบด้วย Improper Input Validation (CVE-2018-8850), Cross-site scripting (CVE-2018-8846), Information Exposure (CVE-2018-14803), Incorrect Default Permissions (CVE-2018-884), Sending Data in Cleartext (CVE-2018-8842), Cross-site Request Forgery (CVE-2018-8844), Session Fixation (CVE-2018-8852), Resource Exhaustion (CVE-2018-8854) และ Use of Hardcoded Credentials (CVE-2018-8856)

Philips ได้ออกแพตช์อุดช่องโหว่บางรายการในเวอร์ชัน R2.1 เมื่อเดือนมิถุนายน 2017 และวางแผนที่จะอัปเดตแพตช์อุดช่องโหว่ที่เหลือทั้งหมดปลายปี 2018 นี้

รายละเอียดเพิ่มเติม: https://ics-cert.us-cert.gov/advisories/ICSA-18-242-01

ที่มา: https://www.bleepingcomputer.com/news/security/philips-reports-its-own-device-for-nine-security-vulnerabilities/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …