Esta página está destinada a informar a los clientes de la solución de gestión de datos ZEISS FORUM sobre:

Actualización para la vulnerabilidad de ciberseguridad de deserialización de Java (CWE-502)

Descripción:

La deserialización de Java es una vulnerabilidad de ciberseguridad que ocurre cuando un usuario malintencionado trata de introducir en el sistema un objeto serializado modificado que acaba comprometiendo al sistema o sus datos. Esto significa que el código malicioso podría ejecutarse en el servidor ZEISS FORUM, lo que permitiría que un posible atacante tomase el control.


Este problema está únicamente relacionado con la ciberseguridad y no afecta a la salud ni a la seguridad del paciente. Asimismo, tampoco interfiere en la seguridad y el rendimiento de ZEISS FORUM.

Peligros implicados:

La deserialización solo es posible si:

  1. un atacante accede a la red de una organización, y
  2. un atacante conoce el nombre de usuario y la contraseña de un usuario de FORUM, es consciente de la vulnerabilidad y consigue aprovecharla.

Versiones afectadas:

La vulnerabilidad afecta a las siguientes versiones FORUM:

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

Acciones recomendadas:

1. Eliminar la vulnerabilidad
ZEISS recomienda actualizar su FORUM a la versión 4.2.5 para garantizar una ciberseguridad constante.
Ya está disponible para su instalación el parche de software FORUM 4.2.5. Este parche elimina la vulnerabilidad descrita anteriormente.
Póngase en contacto con su equipo local de ZEISS Service para obtener más información sobre cómo actualizar su software ZEISS FORUM.

2. Mitigar el riesgo
Aunque la instalación del parche es altamente recomendable, también hemos identificado ciertos pasos que se pueden llevar a cabo para mitigar los riesgos.
Siempre que sea posible, implemente un LDAP o SSO para cuentas de usuario FORUM (o, si ya lo tiene, continúe utilizándolo), ya que estas soluciones admiten esquemas de autenticación más complejos, como, por ejemplo, contraseñas más complejas, caducidad de las contraseñas, etc.
Si no es posible implementar un LDAP o SSO, le recomendamos que siga las mejores prácticas para proteger la información de su cuenta de usuario:

  • Cambie las contraseñas predeterminadas.
  • Utilice contraseñas seguras.
  • No comparta sus contraseñas.
  • Cada usuario debe disponer de una cuenta individual.
  • Desactive las cuentas de usuario que ya no sean necesarias (por ejemplo, las cuentas de empleados que ya no forman parte de la organización).
  • Cambie sus contraseñas regularmente.
  • Utilice combinaciones de mayúsculas, minúsculas, números, caracteres especiales, etc. en sus contraseñas.

  

Póngase en contacto con su equipo de servicio local si necesita asistencia para actualizar su ZEISS FORUM.