Esta página tem como objetivo informar os clientes da solução de gestão de dados do ZEISS FORUM sobre:

Atualização de cibersegurança acerca da vulnerabilidade de desserialização de Java (CWE-502)

Descrição:

A desserialização de Java é uma vulnerabilidade de cibersegurança que ocorre quando um utilizador malicioso tenta inserir um objeto serializado modificado no sistema, que, eventualmente, compromete o sistema ou os seus dados. Isto significa que um código malicioso poderia ser executado no servidor do ZEISS FORUM, permitindo que um potencial atacante assuma o controlo.

Esta questão está exclusivamente relacionada com a cibersegurança e não compromete a saúde e segurança do paciente. Também não tem impacto na segurança e desempenho do ZEISS FORUM.

Perigo em causa:

A desserialização só é possível se:

  1. um atacante obtiver acesso à rede da organização e
  2. um atacante souber o nome de utilizador e a palavra-passe de um utilizador do FORUM, estiver consciente da vulnerabilidade e for capaz de a explorar.

Versões afetadas:

A vulnerabilidade afeta as seguintes versões do FORUM:

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

Ações recomendadas:

1. Encerrar a vulnerabilidade
A ZEISS recomenda a atualização do FORUM para a versão 4.2.5, de forma a garantir a continuidade da cibersegurança.
Está disponível para instalação um patch de software com o nome FORUM 4.2.5. Este patch encerra a vulnerabilidade descrita.
Entre em contacto com a sua equipa local do ZEISS Service para mais informações sobre como atualizar o seu software ZEISS FORUM.

2. Mitigar o risco
Embora a instalação do patch seja altamente recomendada, identificámos ainda algumas medidas de mitigação.
Sempre que possível, implementar ou continuar a utilizar LDAP ou SSO para as contas de utilizadores do FORUM, uma vez que estes suportam esquemas de autenticação mais complexos, por exemplo, palavras-passe complexas, expiração de palavra-passe, etc.
Quando não for possível utilizar LDAP ou SSO, recomenda-se a implementação das melhores práticas para a informação da sua conta de utilizador:

  • Alterar as palavras-passe predefinidas
  • Utilizar palavras-passe seguras
  • Não partilhar palavras-passe
  • Criar contas individuais para todos os utilizadores
  • Desativar as contas de utilizadores quando estas deixem de ser necessárias, por exemplo, após a saída de um funcionário da empresa
  • Alterar as palavras-passe a intervalos regulares
  • Ao definir palavras-passe, utilizar combinações de letras maiúsculas e minúsculas, números, caracteres especiais, etc.

  

Consulte entre em contacto com a equipa local de assistência técnica se precisar de apoio para atualizar o seu ZEISS FORUM.