Découverte de 3 vulnérabilités sur des moniteurs cardiaques

Trois vulnérabilités ont été découvertes sur les moniteurs cardiaque de la famille d'équipement Drager Infinity® Delta. Ces dernières permettent une divulgation des informations contenues dans les journaux des périphériques, un déni de service via le redémarrage des périphériques et une escalade de privilèges sur l'équipement Infinity® C700-for-IT disposant d'Infinity® Explorer.

Détails techniques :

  • Il est possible de procéder à un déni de service sur les moniteurs cardiaque Infinity® Delta via l'envoi de paquets réseau malformés, qui vont provoquer des redémarrages consécutifs de l'équipement jusqu'à ce que ce dernier se réinitialise à sa configuration par défaut et perde sa connectivité réseau. Il ne sera alors plus possible d'accéder à l'équipement jusqu'à ce que l'appareil soit reconfiguré.
  • Un attaquant est en capacité d'accéder aux journaux du périphérique via un port réseau exposé sur les machines. Une fois l'accès aux journaux réalisé, ce dernier serait en capacité de déduire la configuration de l'équipement, sa localisation précise ainsi que de récupérer la configuration réseau sans-fil du moniteur.
  • Un attaquant en capacité d'émettre des commandes sur l'équipement pourrait sortir du mode "kiosque" et obtenir un accès au système d'exploitation sous-jacent à l'équipement. Cet accès lui permettrait ainsi d'obtenir un contrôle total sur le moniteur. Il lui serait alors possible d'éteindre la machine, ou de fausser les données affichées sur ce dernier.
Informations
+

Risques

  • Déni de service ;
  • Elévation de privilèges ;
  • Acquisition d'informations techniques.

Criticité

  • Score CVSS v3 : 8.4

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été diffusé pour les vulnérabilités listées.

Composants & versions vulnérables

  • Dräger Infinity® Delta, Delta XL, Kappa, toutes versions antérieures à VF10.1 ;
  • Dräger Infinity® Explorer C700, toutes versions antérieures à VF10.1.

CVE

  • N/A

Recommandations
+

Mise en place de correctif de sécurité

  • Les vulnérabilités ont été corrigées dans la version VF10.1 des logiciels pour les composants concernés. La mise à jour concernée a été publiée fin décembre 2018 et est directement accessible depuis les services fournis par Dräger à ses clients.

Solution

  • Aucune solution de contournement n'a été diffusée. Il est toutefois possible de placer les équipements sur un segment réseau distinct, et derrière un équipement réseau filtrant pour se prémunir des attaques par déni de service via la réception de paquets malformés.