เตือน 9 ช่องโหว่บนผลิตภัณฑ์ของ Philips e-Alert

Philips บริษัทผู้ผลิตเครื่องใช้อิเล็กทรอนิกส์สัญชาติดัตช์ออกมาแจ้งเตือนถึงช่องโหว่บนผลิตภัณฑ์ Philips e-Alert Unit ของตนเองรวม 9 ราย หลังทำการตรวจประเมินผลิตภัณฑ์ของตน หนึ่งในนั้นเป็นช่องโหว่ความรุนแรงระดับ Critical คะแนน CVSS v3 9.8 จาก 10 ซึ่งเป็นการ Hardcoded Credentials

Industrial Controls Systems Cyber Emergency Response Team (ICS-CERT) ออก Security Advisory เมื่อวันพฤหัสบดีที่ผ่านมา โดยอธิบายถึงช่องโหว่ที่พบบน Philips e-Alert Unit ซึ่งเป็นโซลูชันสำหรับเฝ้าระวังประสิทธิภาพของการถ่ายภาพทางการแพทย์ เช่น แจ้งเตือนเมื่อพบว่าพารามิเตอร์สำคัญบนเครื่อง MRI มีความผิดปกติ

ช่องโหว่ดังกล่าวส่งผลกระทบต่อเวอร์ชัน R2.1 และก่อนหน้านั้น มีระดับความรุนแรงตั้งแต่ Medium ซึ่งช่วยให้แฮ็กเกอร์สามารถแอบขโมยข้อมูลเกี่ยวกับระบบปฏิบัติการและซอฟต์แวร์ ไปจนถึง Critical ซึ่งเป็นการ Hardcoded Credentials โดยทั้งหมดนี้อาจถูกโจมตีจากระยะไกลได้ถ้าเชื่อมต่อกับระบบอินเทอร์เน็ต

ช่องโหว่ทั้ง 9 รายการประกอบด้วย Improper Input Validation (CVE-2018-8850), Cross-site scripting (CVE-2018-8846), Information Exposure (CVE-2018-14803), Incorrect Default Permissions (CVE-2018-884), Sending Data in Cleartext (CVE-2018-8842), Cross-site Request Forgery (CVE-2018-8844), Session Fixation (CVE-2018-8852), Resource Exhaustion (CVE-2018-8854) และ Use of Hardcoded Credentials (CVE-2018-8856)

Philips ได้ออกแพตช์อุดช่องโหว่บางรายการในเวอร์ชัน R2.1 เมื่อเดือนมิถุนายน 2017 และวางแผนที่จะอัปเดตแพตช์อุดช่องโหว่ที่เหลือทั้งหมดปลายปี 2018 นี้

รายละเอียดเพิ่มเติม: https://ics-cert.us-cert.gov/advisories/ICSA-18-242-01

ที่มา: https://www.bleepingcomputer.com/news/security/philips-reports-its-own-device-for-nine-security-vulnerabilities/