0

  • Votre panier est vide.

  • COMPTE

Vulnérabilités MDhex découvertes dans les dispositifs médicaux GE Healthcare

Certains articles de veille peuvent faire l'objet de traduction automatique.

Les chercheurs ont découvert six vulnérabilités critiques différentes de MDhex, dans les dispositifs médicaux. Ces vulnérabilités, lors de l’exploitation, pourraient permettre à un adversaire de jouer avec les fonctionnalités des appareils ou de les rendre inutiles.

Vulnérabilités MDhex dans les dispositifs médicaux

L’équipe de recherche CyberMDX a découvert plusieurs vulnérabilités de sécurité dans les dispositifs médicaux. Surnommées MDhex, ces six vulnérabilités existaient dans les dispositifs de surveillance des patients CARESCAPE de GE Healthcare. Les chercheurs ont développé leurs découvertes dans un article de blog.

En bref, cinq des six vulnérabilités ont atteint des cotes de gravité critique avec un score CVSS de 10,0. Il s’agit notamment d’une vulnérabilité SSH exposant une clé privée (CVE-2020-6961), une vulnérabilité SMB permettant une connexion à distance pour lire / écrire des fichiers sur le système (CVE-2020-6963), une vulnérabilité MultiMouse / Kavoom KM permettant un contrôle à distance (CVE-2020 -6964), vulnérabilité du logiciel VNC permettant le contrôle à distance (CVE-2020-6966), et version obsolète de Webmin provoquant de nombreux bugs (CVE-2020-6962).

Le sixième bogue était une vulnérabilité de gestion des mises à jour GE (CVE-2020-6965). Il s’agissait d’une vulnérabilité de gravité élevée qui a reçu un score CVSS de 8,5.

Correctifs déployés

L’équipe Cyber ​​MDX a trouvé ces bogues en septembre 2019. Ils ont informé GE Healthcare des failles et, en collaboration avec CISA, les fournisseurs ont corrigé les failles.

Ces vulnérabilités ont affecté les appareils suivants.

  • Centre d’information central (CIC), versions 4.x et 5.x
  • Serveur / tour de télémétrie Apex Pro, versions 4.2 et antérieures
  • CARESCAPE Central Station (CSCS), versions 1.x et 2.x
  • Serveur de télémétrie CARESCAPE, versions 4.3, 4.2 et antérieures
  • Moniteur patient B450, version 2.x
  • Moniteur patient B650, versions 1.x et 2.x
  • Moniteur patient B850, versions 1.x et 2.x

Suite à la publication des correctifs, les recherches ont maintenant révélé les vulnérabilités suivant le protocole de divulgation responsable. Ils ont également partagé les détails sur les atténuations possibles et les recommandations pour chaque vulnérabilité dans leur rapport. La CISA a également partagé un consultatif partager les atténuations et les meilleures pratiques recommandées par GE.

Pour l’instant, GE n’a confirmé aucune exploitation active d’aucune des vulnérabilités dans la nature.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

octobre 24, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)