Vivimos en un mundo en el que la tecnología forma cada vez más parte de nuestra vida. Esta tecnología nos ayuda diariamente en nuestras actividades diarios, pero no todo es positivo. Vivir en un mundo donde todo está conectado conlleva un peligro, el del robo de información. Todos sabemos que pueden hacker nuestro ordenador y encriptar nuestros archivos, o sufrir algún tipo de phishing y que nuestros datos bancarios sean susceptibles a robo. Pero, y si te dijera que cuando te haces una radiografía los ciberdelincuentes pueden acceder a tu historial médico.

 

Visualización Avanzada Vitrea

Uno de los principales sistemas para la visualización de imágenes empleados a nivel médico es la Visualización Avanzada Vitrea de Canon Medical System. Pues bien hace poco unos investigadores de Trustwave Spiderlabs descubrieron una vulnerabilidad.

Esta debilidad se encuentra en un programa de terceros usado por Canon Medical System. Explotándola los atacantes pueden ganar acceso al historial del paciente, así como a otros servicios dentro de Canon Medical System.

Específicamente, el primer problema fue una vulnerabilidad del tipo de secuencias de comandos en sitios cruzados (Cross-site scripting o XSS por sus siglas en inglés) reflejada en el mensaje de error. La vulnerabilidad aparece en la página de error en /vítrea-view/error/ mostrando todas las entradas en el subdirectorio /error/. Con esta vulnerabilidad un usuario experto podía pasarlas por alto las restricciones mediante comillas invertidas (`) y codificación en base64, e importar códigos remotos.

La siguiente vulnerabilidad también se identificó como un XSS, sin embargo, se encuentra en el panel administrativo de Vitrea. La explotación de la vulnerabilidad requería que el atacante engañara a la víctima para que le diera acceso al panel de administración a través de ingeniería social. Un ciberdelincuente podría hacer eso fácilmente al enviar un enlace malicioso a la víctima y al hacer clic darle control remoto al atacante. Todas estas vulnerabilidades permitirían al atacante acceder a imágenes del escáner, acceder a credenciales o modificar información.

Después de conocer el descubrimiento por parte de los investigadores de Trustwave, los encargados de Canon Medical lanzaran un parche para solucionar la vulnerabilidad. Aun así, esto no es otra muestra más que en un mundo tecnológico la seguridad no existe y siempre seremos vulnerables.

Bibliografía:

Abeerah Hashim, 03/10/2022. Multiple Vulnerabilities Found In Canon Medical Vitrea View Software, Latest Hacking News.

 

 

Publicado el 28 de Octubre de 2022
Por Francisco Javier García
Departamento de Ciberseguridad