Avviso sulla sicurezza dei prodotti

Data di pubblicazione: 29-05-2026

Ultimo aggiornamento: 29-05-2026

Sintesi

Roche Diagnostics è stata avvisata di una potenziale vulnerabilità della sicurezza che coinvolge l’interfaccia RabbitMQ (RMQ) Management di navify Digital Pathology, configurata con credenziali predefinite (guest:guest) per impostazione predefinita, a meno che non venga modificata in modo specifico durante l’installazione. Questa configurazione, se esposta, potrebbe consentire l’accesso non autorizzato basato su rete all’intero dashboard di gestione di RabbitMQ senza un’autenticazione adeguata.

La vulnerabilità espone un’interfaccia di gestione del message broker pienamente funzionale responsabile delle operazioni interne del sistema, tra cui gestione dei processi, servizi di metadati, servizi di caricamento e monitoraggio dell’avanzamento delle analisi. Sebbene non vengano esposti dati dei pazienti o informazioni sensibili, l’accesso non autorizzato a questa interfaccia consente a un hacker di manipolare o interrompere le code di dati interne. Questa vulnerabilità è stata segnalata da un ricercatore esterno addetto alla sicurezza.

Prodotti interessati

navify Digital Pathology (in precedenza: Virtuoso / uPath) 2.0.0 - 2.4.1

Potenziale impatto

Un utente non autorizzato che usa l’account guest potrebbe ottenere l’accesso a dati non pubblici, sebbene non critici. Nessuna informazione sensibile è esposta a causa di questa vulnerabilità. I dati visibili sono limitati ai numeri di identificazione interni di vari sistemi di back-end che non possono essere collegati direttamente a pazienti o utenti specifici.

Tuttavia, l’utente guest ha la piena capacità di eliminare code e inserire messaggi in qualsiasi coda. Nel peggiore dei casi, un hacker potrebbe interrompere il flusso di dati attraverso RMQ. Sebbene ciò non causi perdita di dati o danni permanenti al sistema, un attacco potrebbe arrestare l’elaborazione attiva delle code di dati, causando un’interruzione temporanea dei flussi di lavoro operativi.

CVE ID: CVE-2026-9844

Categoria: CWE-1392: uso di credenziali predefinite

Punteggio CVSS v4.0: 8.8 (Alto)

Stringa del vettore: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:H/SC:L/SI:L/SA:L/S:N/AU:Y/R:U/V:D/RE:M/U:Green

Mitigazioni / Soluzioni alternative

• Azione immediata: modificare la password predefinita per l’utente guest dalle impostazioni di fabbrica a una password univoca e sicura.

• Isolamento della rete: implementare navify Digital Pathology rigorosamente all’interno di reti locali o private. Limitare l’accesso pubblico diretto al server on-prem nDP per evitare accessi esterni alla dashboard di RabbitMQ. 

Per ulteriori orientamenti sulla configurazione sicura di navify Digital Pathology, fare riferimento alla sezione "Software e sicurezza dei dati" del Manuale d’uso e all’addendum sulla sicurezza di Roche Digital Pathology Dx. 

Contattare il rappresentante o l’ufficio locale di Roche Diagnostics per ulteriori informazioni sulle azioni correttive.

Recapiti

Clienti Roche

• Per ulteriori informazioni o dubbi, si prega di contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Ricercatori addetti alla sicurezza

• Per argomenti relativi alla sicurezza dei prodotti diagnostici, contattare [email protected]
• Per argomenti generali sulla sicurezza in relazione a Roche, contattare [email protected]
  
  

Controllare il contenuto dell’avviso facendo clic qui.

Data di pubblicazione: 17-07-2025

Ultimo aggiornamento: 05-08-2025

Sintesi

Roche Diagnostics ha recentemente rilevato una vulnerabilità nel meccanismo di validazione di input di un’API (Application Programming Interface), che non dispone di misure di validazione adeguate per l’input dei dati forniti dagli utenti. Gli hacker possono sfruttare questa vulnerabilità inviando all’API set di dati sovradimensionati o imprevisti, con intento malevolo. In assenza di un’adeguata validazione software, l’input difettoso potrebbe compromettere le prestazioni del server, fino a determinare l’esaurimento o la saturazione delle risorse. Di conseguenza, il server potrebbe esaurire tutta la memoria disponibile, le connessioni di rete o le risorse CPU determinando un Denial of Service (DoS) e rendendo l’API inutilizzabile per gli utenti legittimi.

Dopo aver valutato il potenziale impatto di questa vulnerabilità, Roche Diagnostics ha implementato aggiornamenti in grado di correggere il problema. Roche ha anche messo in atto misure volte a far rispettare rigorose validazioni degli input, definire limiti e formati previsti per ciascun tipo di dati, utilizzare tecniche di sanitizzazione per rimuovere i contenuti dannosi e stabilire sistemi di gestione degli errori validi per identificare e rispondere in modo efficiente a modelli di traffico anomali.

Come misura di sicurezza generale, Roche raccomanda vivamente rigorosi controlli di accesso alla rete dei dispositivi, mediante meccanismi di sicurezza appropriati, incluso il firewall fornito da Roche. Si consiglia vivamente di configurare l’ambiente operativo secondo le linee guida di installazione di Roche e di attenersi alle raccomandazioni fornite nei manuali dei prodotti.

Prodotti interessati

La vulnerabilità segnalata influisce su tutte le versioni di navify Monitoring precedenti alla versione 1.08.00. Il pacchetto completo con il problema risolto è disponibile tramite il referente Roche di pertinenza, in modo da consentire l’aggiornamento dei clienti alla versione più recente.

Contattare il rappresentante o l’ufficio locale di Roche Diagnostics per ulteriori informazioni sul calendario di aggiornamento.

Potenziale impatto

Questa vulnerabilità nella validazione impropria degli input può essere sfruttata dagli hacker per influire negativamente sulle prestazioni del server, fino all’esaurimento o alla saturazione delle risorse. Il server potrebbe esaurire tutta la memoria disponibile, le connessioni di rete o le risorse CPU, causando un Denial of Service (DoS) e rendendo l’API inutilizzabile per gli utenti legittimi. L’interfaccia server indebolita, se utilizzata in modo malevolo, può avere conseguenze gravi, come perdite finanziarie e operative, nonché danni alla reputazione del servizio.

Categoria: CWE-20: validazione impropria degli input

CVSS v4.0 Punteggio: 7.1 / Alto

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/S:N/AU:Y/R:U/V:D/RE:M/U:Green

Per ulteriori informazioni o dubbi, si prega di contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Mitigazioni / Soluzioni alternative

Non sono necessarie soluzioni temporanee in quanto tutti i clienti interessati hanno già completato o stanno completando la migrazione alla nuova soluzione, dotata di rigorosi meccanismi di validazione degli input.

Per ulteriori informazioni o domande, contattare il rappresentante o l’ufficio locale di Roche Diagnostics.

Recapiti

Clienti Roche

Contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Ricercatori addetti alla sicurezza

Per argomenti relativi alla sicurezza dei prodotti diagnostici, contattare [email protected]

Per argomenti generali sulla sicurezza in relazione a Roche, contattare [email protected]

Controllare il contenuto dell’avviso facendo clic qui.

Data di pubblicazione: 15-01-2025

Ultimo aggiornamento: 15-01-2025

Sintesi

Roche è a conoscenza di una vulnerabilità in Algo Edge, un componente della navify® Algorithm Suite utilizzato in precedenza (legacy). La vulnerabilità influisce sul meccanismo di autenticazione di questo componente e potrebbe consentire a un hacker con accesso locale alla rete di laboratorio e al sistema Algo Edge di creare token di autenticazione validi e di accedere al componente. Gli altri componenti di navify® Algorithm Suite non sono interessati.

Roche Diagnostics ha valutato l’impatto potenziale di questa vulnerabilità, ha rilasciato un aggiornamento di questo componente e ha trasferito i clienti interessati a una nuova soluzione.

Come misura di sicurezza generale, Roche raccomanda vivamente di controllare rigorosamente l’accesso alla rete dei dispositivi mediante meccanismi appropriati, compreso il firewall fornito da Roche. Si raccomanda vivamente di configurare l’ambiente operativo secondo le linee guida di installazione di Roche e di seguire le raccomandazioni contenute nei manuali dei prodotti.

Prodotti interessati

La nostra valutazione attuale indica che tutte le versioni di Algo Edge precedenti alla 2.1.2 risultano interessate dalla vulnerabilità segnalata. Quasi tutti i clienti hanno già ricevuto una versione aggiornata di Algo Edge (2.1.2 o superiore) o hanno completato la migrazione alla nuova soluzione.

Per ulteriori informazioni sul programma di aggiornamento, rivolgersi all’ufficio locale di Roche Diagnostics.

Potenziale impatto

La vulnerabilità influisce sul meccanismo di autenticazione di Algo Edge che controlla l’accesso a un’interfaccia di servizio e potrebbe consentire a un hacker con accesso locale alla rete di laboratorio e al sistema Algo Edge di creare token di autenticazione validi e di accedere al componente. La debolezza è esposta unicamente alla rete di laboratorio interna autorizzata, che risulta attualmente protetta dai controlli di sicurezza già implementati. Per questo motivo, Roche ritiene che il rischio sia significativamente ridotto. Inoltre, il componente interessato gestisce solo dati transitori.

CVE-2024-13026 (CWE-326)

CVSS v4.0 Punteggio: 5.7 / Medio

CVSS:4.0/AV:A/AC:H/AT:P/PR:N/UI:N/VC:L/VI:H/VA:H/SC:N/SI:N/SA:N/E:P/S:N/AU:N/R:A/V:D/RE:L/U:Clear

Per ulteriori informazioni o dubbi, si prega di contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Mitigazioni / Soluzioni alternative

Non sono necessarie soluzioni temporanee in quanto tutti i clienti interessati sono stati o sono in fase di migrazione alla nuova soluzione.

Per ulteriori informazioni o dubbi, si prega di contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Recapiti

Clienti Roche

Contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Ringraziamenti

Roche ringrazia Calif.io per aver segnalato questa vulnerabilità.

Ricercatori addetti alla sicurezza

Per argomenti relativi alla sicurezza dei prodotti diagnostici, contattare [email protected]

Per argomenti generali sulla sicurezza in relazione a Roche, contattare [email protected]

Controllare il contenuto dell’avviso facendo clic qui.

Data di pubblicazione: 03-11-2022

Ultimo aggiornamento: 03-11-2022

Sintesi

Roche è consapevole delle vulnerabilità del OpenSSL Punycode. Ad oggi, nessuno dei nostri prodotti risulta vulnerabile, poiché non utilizza le versioni interessate. Stiamo valutando e monitorando continuamente la situazione e forniremo un aggiornamento se e dove necessario. In caso di domande o per ottenere maggiori informazioni, contattare l’affiliata Roche locale.

Recapiti

Clienti Roche

Contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Ricercatori addetti alla sicurezza

Per argomenti sulla sicurezza in relazione ai prodotti diagnostici, contattare [email protected]

Per argomenti generali sulla sicurezza in relazione a Roche, contattare [email protected]

Data di pubblicazione: 08-03-2022

Ultimo aggiornamento: 08-03-2022

Sintesi

Roche è consapevole delle vulnerabilità di Axeda, sta valutando la situazione e sta adottando azioni di mitigazione, se e dove necessario.

In caso di domande o per ottenere maggiori informazioni, contattare l’affiliata Roche locale.

Recapiti

Clienti Roche

Contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Ricercatori addetti alla sicurezza

Per argomenti sulla sicurezza in relazione ai prodotti diagnostici, contattare [email protected]

Per argomenti generali sulla sicurezza in relazione a Roche, contattare [email protected]

Data di pubblicazione: 27-09-2019

Ultimo aggiornamento: 27-09-2019

Sintesi

Roche è a conoscenza di una serie di vulnerabilità della sicurezza all’interno di una serie di sistemi operativi in tempo reale (RTOS), tra cui VxWorks RTOS di Wind River, che sono stati recentemente divulgati dai ricercatori addetti alla sicurezza di Armis. Queste vulnerabilità, comunemente indicate con URGENT/11, influiscono sullo stack TCP/IP di più RTOS, potrebbero portare all’esecuzione remota del codice e consentire a un hacker di assumere il controllo di un sistema senza interagire con l’utente.

Nell’ambito delle nostre politiche sulla sicurezza dei prodotti, Roche Diagnostics ha valutato i propri prodotti per individuare i potenziali impatti associati a queste vulnerabilità e ha stabilito che non sono necessarie azioni per i suoi prodotti.

Come misura di sicurezza generale, Roche raccomanda vivamente di controllare rigorosamente l’accesso alla rete dei dispositivi mediante meccanismi appropriati, compreso il firewall di Roche. Si raccomanda di configurare l’ambiente operativo secondo le linee guida di installazione di Roche e di seguire le raccomandazioni contenute nei manuali dei prodotti.

Prodotti interessati

La nostra revisione ha identificato una serie limitata di prodotti Roche Diagnostics (analizzatori e sistemi IVD) che utilizzano il sistema operativo VxWorks. Questi rientrano in due categorie.

1. Prodotti connessi che non includono versioni vulnerabili di VxWorks. 
   
2. Prodotti offline che possono utilizzare versioni vulnerabili di VxWorks ma non sono a rischio in quanto non sono connessi alla rete.
   

Nessuno dei prodotti citati presenta tali vulnerabilità o è a rischio.

Potenziale impatto

La nostra attuale valutazione delle vulnerabilità segnalate ha concluso che i prodotti Roche Diagnostics non sono direttamente influenzati dalla serie di vulnerabilità URGENT/11. Sebbene esistano alcune versioni vulnerabili di VxWorks, questi prodotti funzionano su unità isolate senza connettività alla rete del cliente e pertanto non sono a rischio. I prodotti Roche Diagnostics utilizzano un firewall che non si basa su VxWorks e pertanto non è sensibile alle vulnerabilità URGENT/11.

Per ulteriori informazioni o dubbi, si prega di contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Mitigazioni / Soluzioni alternative

Per queste vulnerabilità non sono necessarie mitigazioni o soluzioni alternative.

Per ulteriori informazioni o dubbi, si prega di contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Recapiti

Clienti Roche

Contattare la sede locale di Roche Diagnostics, attraverso i riferimenti indicati nella sezione Recapiti.

Ricercatori addetti alla sicurezza

Per argomenti sulla sicurezza in relazione ai prodotti diagnostici, contattare [email protected]

Per argomenti generali sulla sicurezza in relazione a Roche, contattare [email protected]