Esta página é para informar os clientes da solução de gerenciamento de dados ZEISS FORUM sobre:
Atualização de Cibersegurança da Vulnerabilidade de Desserialização do Java (CWE-502)
Descrição:
A desserialização do Java é uma vulnerabilidade de cibersegurança que ocorre quando um usuário mal-intencionado tenta inserir um objeto serializado modificado no sistema que eventualmente compromete o sistema ou seus dados. Isso significa que um código malicioso pode ser executado no Servidor ZEISS FORUM, possibilitando que um invasor em potencial assuma o controle.
Essa questão refere-se apenas à cibersegurança e não compromete a saúde e a segurança do paciente. Ela também não causa impactos na segurança e no desempenho do ZEISS FORUM.
Perigo envolvido:
A desserialização só é possível se:
- um invasor obtiver acesso à rede da organização e
- um invasor souber o nome de usuário e a senha de um usuário do FORUM, estiver ciente da vulnerabilidade e for capaz de explorá-la.
Versões afetadas:
A vulnerabilidade afeta as seguintes versões do FORUM:
- FORUM 4.2.1
- FORUM 4.2.3
- FORUM 4.2.4
Ações recomendadas:
1. Encerrar a vulnerabilidade
A ZEISS recomenda a atualização do seu FORUM para a versão 4.2.5 para garantir a cibersegurança contínua.
Um patch de software intitulado FORUM 4.2.5 está disponível para instalação. Esse patch encerra a vulnerabilidade descrita.
Entre em contato com a sua equipe local de Assistência Técnica da ZEISS para mais informações sobre como atualizar o seu software ZEISS FORUM.
2. Mitigar o risco
Embora instalar o patch seja altamente recomendado, nós também identificamos algumas medidas de mitigação.
Quando possível, implemente ou continue usando LDAP ou SSO para as contas de usuário do FORUM, pois suportam esquemas de autenticação mais complexos, por exemplo: senhas complexas, expiração de senha etc.
Quando LDAP ou SSO não forem possíveis, é recomendado que você implemente as melhores práticas para as informações da sua conta de usuário:
- Altere as suas senhas padrão
- Use senhas fortes
- Não compartilhe senhas
- Tenha contas individuais para cada usuário
- Desative contas de usuários quando não forem mais necessárias, por exemplo, após um funcionário sair da empresa
- Altere suas senhas em intervalos regulares
- Use combinações de letras maiúsculas e minúsculas, números, caracteres especiais etc. nas senhas
Por favor, entre em contato com a sua equipe de assistência técnica local se precisar de suporte para atualizar o seu ZEISS FORUM.