Eine kürzlich durchgeführte Sicherheitsbewertung hat eine kritische Schwachstelle in der Software syngo.plaza VB30E von Siemens Healthineers aufgedeckt. Die Schwachstelle besteht in einem nicht authentifizierten SQL-Injection, der es Angreifern ermöglichen könnte, bösartige SQL-Befehle auszuführen und die Datenbank zu kompromittieren. Als Reaktion darauf hat Siemens Healthineers den Hotfix HF05 für syngo.plaza VB30E veröffentlicht und empfiehlt den Anwendern dringend, auf diese neueste Version zu aktualisieren.
syngo.plaza ist ein Bildarchivierungs- und Kommunikationssystem zum Anzeigen, Verarbeiten, Lesen, Berichten, Drucken, Kommunizieren, Verteilen, Speichern und Archivieren von digitalen medizinischen Bildern, einschließlich mammographischer Bilder. Es unterstützt Ärzte bei der Diagnose und Behandlungsplanung.
Warum ist diese Schwachstelle für den Gesundheitssektor so kritisch?
Dadurch könnten sich Hacker Zugang zu Patientendatenbanken verschaffen, vertrauliche Krankenakten einsehen oder verändern und Krankenhaus-Systeme stören. Das ist besonders problematisch, da Krankenhäuser auf diese Daten für die Behandlung ihrer Patienten angewiesen sind. Wenn Patienteninformationen kompromittiert oder verändert werden, könnte dies medizinische Entscheidungen beeinflussen und wichtige Behandlungen verzögern.
SQL-Injection-Schwachstelle
CVSS v3.1 Score
CVSS v4.0 Score
Die betroffene Anwendung bereinigt Eingabedaten nicht ordnungsgemäß, bevor sie an den SQL-Server gesendet werden. Dies könnte es einem Angreifer mit Zugriff auf die Anwendung ermöglichen, diese Schwachstelle auszunutzen, um bösartige SQL-Befehle auszuführen und die gesamte Datenbank zu kompromittieren.
Darüber hinaus empfiehlt Siemens Healthineers im Allgemeinen Folgendes:
- Stellen Sie sicher, dass Sie über geeignete Sicherungen und Verfahren zur Systemwiederherstellung verfügen.
- Löschen Sie Sicherungsdateien, die nicht mehr benötigt werden, auf sichere Weise.
- Für spezifische Informationen zu Patches und Abhilfemaßnahmen wenden Sie sich bitte an Ihren lokalen Siemens Healthineers Customer Service Engineer, das Portal oder unser Regional Support Center.
- Update auf VB30E_HF05 oder eine neuere Version
