Des vulnérabilités ont été identifiées sur des produits de GE Healthcare

Le National Cybersecurity and Communications Integration Center (NCCIC) a publié un avis de sécurité détaillant deux vulnérabilités affectant des produits de GE Healthcare et Silex Technology.

Ces vulnérabilités concernent la solution de communication pour électrocardiogramme MobileLink de GE Healthcare et les serveurs de Silex Technology de séries SX-500 et SD-320AN.

  • CVE-2018-6020 : l'authentification n'est pas vérifiée lors de l'envoi de certaines requêtes avec la méthode "POST". L'exploitation de cette vulnérabilité permettrait à un attaquant de modifier les paramètres de l'équipement ;

  • CVE-2018-6021 : le paramètre d'une commande système n'est pas correctement vérifié. L'exploitation de cette vulnérabilité permettrait à un attaquant d'exécuter du code arbitraire à distance.
Informations
+

Impact

  • Exécution de code arbitraire à distance ;
  • Modification des paramètres du système.

Criticité

CVSS v3 :

  • 7.4 (CVE-2018-6021) ;

  • 6.5 (CVE-2018-6020).

Existence d’un code d’exploitation de la vulnérabilité

  • Un code permettant l’exploitation de la vulnérabilité a été rendu public.

Composants & versions vulnérables

  • Produits GE affectés :
    • MAC 3500 ;
    • MAC 5000 ;
    • MAC 5500 ;
    • MAC 5500 HD.
  • Produits Silex Technology affectés :
    • GEH-500 versions 1.54 and et antérieures ;
    • SX-500 ;
    • GEH-SD-320AN versions GEH-1.1 et antérieures ;
    • SD-320AN Versions 2.01 et antérieures.

CVE

  • CVE-2018-6020 ;
  • CVE-2018-6021.

Recommandations
+

Correctifs

  • CVE-2018-6021 : Silex Technology et GE Healthcare publieront une nouvelle version du firmware corrigeant la vulnérabilité pour le produit GEH-SD-320AN (publication prévue le 31 mai) ;
  • Des informations seront disponibles sur cette page.

Solution de contournement

  • CVE-2018-6020 : GE Healthcare recommande d'activer le compte "update" à partir de l'interface web et de lui attribuer un mot de passe secondaire.