ADPT

เตือน 9 ช่องโหว่บนผลิตภัณฑ์ของ Philips e-Alert

Philips บริษัทผู้ผลิตเครื่องใช้อิเล็กทรอนิกส์สัญชาติดัตช์ออกมาแจ้งเตือนถึงช่องโหว่บนผลิตภัณฑ์ Philips e-Alert Unit ของตนเองรวม 9 ราย หลังทำการตรวจประเมินผลิตภัณฑ์ของตน หนึ่งในนั้นเป็นช่องโหว่ความรุนแรงระดับ Critical คะแนน CVSS v3 9.8 จาก 10 ซึ่งเป็นการ Hardcoded Credentials

Credit: Philips.co.uk

Industrial Controls Systems Cyber Emergency Response Team (ICS-CERT) ออก Security Advisory เมื่อวันพฤหัสบดีที่ผ่านมา โดยอธิบายถึงช่องโหว่ที่พบบน Philips e-Alert Unit ซึ่งเป็นโซลูชันสำหรับเฝ้าระวังประสิทธิภาพของการถ่ายภาพทางการแพทย์ เช่น แจ้งเตือนเมื่อพบว่าพารามิเตอร์สำคัญบนเครื่อง MRI มีความผิดปกติ

ช่องโหว่ดังกล่าวส่งผลกระทบต่อเวอร์ชัน R2.1 และก่อนหน้านั้น มีระดับความรุนแรงตั้งแต่ Medium ซึ่งช่วยให้แฮ็กเกอร์สามารถแอบขโมยข้อมูลเกี่ยวกับระบบปฏิบัติการและซอฟต์แวร์ ไปจนถึง Critical ซึ่งเป็นการ Hardcoded Credentials โดยทั้งหมดนี้อาจถูกโจมตีจากระยะไกลได้ถ้าเชื่อมต่อกับระบบอินเทอร์เน็ต

ช่องโหว่ทั้ง 9 รายการประกอบด้วย Improper Input Validation (CVE-2018-8850), Cross-site scripting (CVE-2018-8846), Information Exposure (CVE-2018-14803), Incorrect Default Permissions (CVE-2018-884), Sending Data in Cleartext (CVE-2018-8842), Cross-site Request Forgery (CVE-2018-8844), Session Fixation (CVE-2018-8852), Resource Exhaustion (CVE-2018-8854) และ Use of Hardcoded Credentials (CVE-2018-8856)

Philips ได้ออกแพตช์อุดช่องโหว่บางรายการในเวอร์ชัน R2.1 เมื่อเดือนมิถุนายน 2017 และวางแผนที่จะอัปเดตแพตช์อุดช่องโหว่ที่เหลือทั้งหมดปลายปี 2018 นี้

รายละเอียดเพิ่มเติม: https://ics-cert.us-cert.gov/advisories/ICSA-18-242-01

ที่มา: https://www.bleepingcomputer.com/news/security/philips-reports-its-own-device-for-nine-security-vulnerabilities/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผลสำรวจชี้องค์กรหลายที่จ่ายค่าไถ่แรนซัมแวร์ยังถูกโจมตีซ้ำสอง

Cybereason ได้จัดทำผลสำรวจเกี่ยวกับแรนซัมแวร์ โดยหนึ่งในเหตุการณ์ที่น่าโหดร้ายคือมีหลายองค์กรถูกโจมตีซ้ำสองหลังแม้จ่ายค่าไถ่ไปแล้ว

อีเมลวัคซีนปลอมระบาด ส่งผลให้การโจมตีผ่านทางอีเมลขึ้นมาเป็นอันดับ 1

FBI ได้รับรายงานการโดนโจมตีทางไซเบอร์มากกว่า 791,790 ครั้งในปี 2020 สร้างความเสียหายรวมมูลค่ากว่า 4.2 พันล้านดอลลาร์สหรัฐ ซึ่งตีเป็นเงินไทยกว่าแสนล้านบาท เพิ่มขึ้นจากปี 2019 ถึง 69%