W oprogramowaniu IBM Merge Healthcare eFilm Workstation odkryto krytyczną podatność polegającą na obecności zakodowanych na stałe w kodzie danych uwierzytelniających (hardcoded credentials). Zdalne, nieuwierzytelnione ataki mogą prowadzić do ujawnienia informacji lub wykonania dowolnego kodu na podatnym systemie.
▸ Pokaż oryginał (EN)
A hardcoded credential vulnerability exists in IBM Merge Healthcare eFilm Workstation. A remote, unauthenticated attacker can exploit this vulnerability to achieve information disclosure or remote code execution.
Podatność wynika z obecności statycznych, niezmienianych danych uwierzytelniających wbudowanych bezpośrednio w kod aplikacji (CWE-798). Atakujący, który pozna lub odgadnie te dane, może uzyskać dostęp do systemu bez żadnej autoryzacji ze strony użytkownika ani wymogu posiadania istniejącego konta. Ze względu na sieciowy wektor ataku (AV:N) i brak wymagań wstępnych (PR:N, AC:L, UI:N), exploitacja jest możliwa zdalnie i nie wymaga interakcji z użytkownikiem.
Atakujący może uzyskać nieuprawniony dostęp do chronionych zasobów systemu, co prowadzi do ujawnienia poufnych danych medycznych lub pełnego przejęcia kontroli nad systemem poprzez zdalne wykonanie kodu (RCE).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do stacji roboczych eFilm Workstation za pomocą firewall oraz monitorowanie ruchu sieciowego pod kątem nieautoryzowanych prób dostępu do czasu wdrożenia poprawki.
IBM Merge Healthcare eFilm Workstation — wersje wskazane w referencjach producenta
Szczegółowy opis techniczny podatności opublikowany został przez Exodus Intel w dniu 25 stycznia 2024 r. pod adresem blog.exodusintel.com. Produkt stosowany jest w środowiskach medycznych, co może implikować szczególną wrażliwość przetwarzanych danych (dane pacjentów, obrazowanie medyczne).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIBM Merge Efilm Workstation
APPIbm≤ 4.2
Powiązane podatności
Buffer overflow w serwerze licencji IBM Merge Healthcare eFilm Workstation — RCE
Stack-based buffer overflow w IBM Merge Healthcare eFilm Workstation — RCE jako SYSTEM
An improper privilege management vulnerability exists in IBM Merge Healthcare eFilm Workstation. A local, auth...
IBM Aspera Faspex 4.4.2 Patch Level 1 and earlier could allow a remote attacker to execute arbitrary code on t...
IBM Data Risk Manager 2.0.1, 2.0.2, 2.0.3, 2.0.4, 2.0.5, and 2.0.6 could allow a remote attacker to bypass sec...