Deux vulnérabilités ont été identifiées dans le produit Philips Alice 6 System

Philips Alice 6 System est un système de diagnostic du sommeil. Deux vulnérabilités de criticité moyenne ont été identifiées dans ce produit. L'exploitation de ces vulnérabilités permettrait d'accéder à des données personnelles et des données sur les identifiants/mots de passe des utilisateurs.

Deux références CVE ont été attribuées à ces vulnérabilités:

  • CVE-2018-5451: pour un défaut dans l'authentification dont l'exploitation permet à des acteurs non-autorisés d'accéder à des ressources ou fonctionnalités voire d'exécuter du code arbitraire ;
  • CVE-2018-7498: pour un défaut d'implémentation du protocole de chiffrement dont l'exploitation permet de porter atteinte à la confidentialité et l'intégrité des données. 

Philips a publié une nouvelle version du produit en décembre 2018. Cette mise à jour introduira le chiffrement des données en transit et au repos, et stoppera la transmission des noms d'utilisateur et mots de passe en texte brut.

Informations
+

Impact

  • Divulgation des informations sensibles.

Criticité

  • CVSS v3 : 5.3

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Philips Alice 6, version R8.0.2 ou antérieure.

CVE

  • CVE-2018-5451 ;
  • CVE-2018-7498.

Recommandations
+

Correctifs

  • Un patch de sécurité sera publié par Philips corrigeant les deux vulnérabilités ;

  • Pour tous les utilisateurs du produit Système Alice 6, version R8.0.2 ou antérieure, Philips mettra à jour les périphériques en version R8.0.3.

Solution d'atténuation

Comme mesure provisoire d'atténuation des vulnérabilités jusqu'à ce que la mise à jour puisse être appliquée, Philips recommande aux utilisateurs de:

  • S'assurer que les meilleures pratiques de sécurité réseau sont mises en œuvre ;
  • Limiter l'accès via réseau à Alice 6 conformément à la documentation du produit.