Multiples vulnérabilités dans des produits GE Healthcare

Risques

• Exécution de code arbitraire à distance
• Contournement de la politique de sécurité
• Interruption ou arrêt total d’un dispositif de suivi de patient
• Modification ou interruption d’alarmes pour le suivi d’un patient

Criticité

• Score CVSS v3 : 10 pour cinq vulnérabilités, 8.5 pour une vulnérabilité

Existence d’un code d’exploitation

• Aucun code d’exploitation n’est pour l’instant disponible. Cependant, l’exploitation de ces vulnérabilités ne requiert pas un haut niveau de connaissances.

Composants vulnérables

• ApexPro Telemetry Server, Versions 4.2 et antérieures
• CARESCAPE Telemetry Server, Versions 4.2 et antérieures
• Clinical Information Center (CIC), Versions 4.X et 5.X
• CARESCAPE Telemetry Server, Version 4.3 (Impacté par les CVE-2020-6962 et CVE-2020-6961)
• CARESCAPE Central Station (CSCS), Versions 1.X
• CARESCAPE Central Station (CSCS), Versions 2.X (Impacté par les CVE-2020-6962 et CVE-2020-6964)
• B450, Version 2.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)
• B650, Version 1.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)
• B650, Version 2.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)
• B850, Version 1.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)
• B850, Version 2.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)

CVE

• CVE-2020-6961
• CVE-2020-6962
• CVE-2020-6963
• CVE-2020-6964
• CVE-2020-6965
• CVE-2020-6966

Mise en place de correctifs de sécurité

• Aucun correctif de sécurité n’est pour l’instant disponible.

Solution de contournement

• Des solutions de contournement sont décrites ici dans la partie « Mitigations ».