Plusieurs vulnérabilités importantes découvertes dans les dispositifs médicaux Roche Point of Care

Plusieurs vulnérabilités importantes ont été découvertes dans les dispositifs médicaux portables Point of Care de la société Roche.

Les appareils concernés par ces vulnérabilités sont les :

  • Accu-Chek Inform II (sauf l’Accu-Chek Inform II Base Unit Light et l’Accu-Chek Inform II Base Unit NEW disposant de la version 04.00.00 ou supérieure du logiciel) : une gamme de lecteurs de glycémie
  • CoaguChek Pro II : un outil de contrôle de la coagulation
  • CoaguChek XS Plus & XS Pro : un outil de contrôle de la coagulation
  • Cobas h 232 POC : un outil permettant l’évaluation quantitative des immunoanalyses par le biais du marquage à l’or.

Les vulnérabilités sont référencées :

CVE-2018-18564 [CVSS : 8.3] : une vulnérabilité due à un défaut dans le mécanisme de contrôle des accès. Un attaquant sur le même réseau que le dispositif pourrait exécuter du code arbitrairement sur ledit dispositif en envoyant un message spécifique.

CVE-2018-18565 [CVSS : 8.2] : une vulnérabilité due à un défaut dans le mécanisme de contrôle des accès. Un attaquant sur le même réseau que le dispositif pourrait changer la configuration dudit dispositif.

CVE-2018-18563 [CVSS : 8.0] : une vulnérabilité du mécanisme de mise à jour qui permettrait à un attaquant sur le même réseau que le dispositif d’effacer arbitrairement les fichiers présents sur le système dudit dispositif en utilisant un paquet de mis à jour malveillant.

CVE-2018-18561 [CVSS : 6.5] : un défaut de sécurisation des interfaces de service permettrait à un attaquant sur le même réseau que le dispositif d'obtenir un accès à l'interface.

Plus de précisions sur les systèmes et versions logicielles impactées ici.

Des mises à jour corrigeant ces vulnérabilités devraient être publiées en novembre 2018.

Dans l’attente, Roche recommande de :

  • Restreindre les accès physiques et réseau à ces dispositifs et aux infrastructures qui leur sont rattachées en activant les fonctionnalités de sécurité de ces dispositifs;
  • Protéger les appareils vulnérables des accès non autorisés, du vol et des logiciels malveillants;
  • Surveiller les activités de l’infrastructure réseau et de l’activité système afin de détecter celles qui sont suspicieuses.