[Mise à jour du 06/06/19] Plusieurs produits médicaux de Siemens impactés par la vulnérabilité critique BlueKeep

Plusieurs produits fabriqués par Siemens Healthineers, une société de Siemens spécialisée dans l'e-santé, sont spécifiquement concernés par la vulnérabilité nommée BlueKeep référencée par la CVE-2019-0708 . En effet, les produits de la marque fonctionnent avec le système d'exploitation de Microsoft, impacté par cette vulnérabilité.

Cette vulnérabilité a été corrigée par Microsoft dans son Patch Tuesday de mai 2019 (voir notre bulletin ici). D'après le chercheur en sécurité Robert Graham, cette vulnérabilité concernerait encore aujourd'hui plus d'un million de périphériques.

A ce titre, Siemens vient de publier six avis de sécurité décrivant l'impact sur ses produits et les mesures de remédiation possibles pour en atténuer les effets.

Details techniques :

CVE-2019-0708 [CVSS v3 9.8] :  Une vulnérabilité rendue publique sur RDP (Remote Desktop Services) qui permettrait à un attaquant non authentifié d’exécuter des commandes à distance en envoyant des requêtes forgées. La vulnérabilité réside dans la pré-authentification et ne nécessite aucune interaction avec un utilisateur.

Les avis de sécurité  des produits Siemens Healthineers sont présents comme suit :

  • SSA-166360 : Vulnerabilités pour les produits "Advanced Therapy"
    • ACOM ;
    • Sensis ;
    • VM SIS Virtual Server ;
  • SSA-433987 : Vulnerabilités pour les produits "Radiation Oncology"
    • Toutes les versions de Lantis sont concernées.
  • SSA-832947 : Vulnerabilités pour les produits "Laboratory Diagnostics"
    • Atellica Solution
    • Aptio
    • Streamlab
    • CentraLink
    • syngo Lab Process Manager
    • Viva E
    • Viva Twin
    • Atellica COAG 360, NEPH 630
    • BCS XP
    • BN ProSpec
    • CS 2000, 2100, 2500, 5100
  • SSA-932041 : Vulnerabilités pour les produits "Radiography and Mobile X-ray"
    • AXIOM Multix M, Vertix MD Trauma, Vertix Solitaire M
    • MOBILETT XP Digital
      MULTIX PRO P, ACSS P PRO/PRO ACSS/PRO Navy, Swing, TOP, TOP ACSS, TOP P/TOP ACSS P
    • VERTIX SOLITAIRE
  • SSA-616199 : Vulnerabilités pour les produits "Point of Care Diagnostics"
    • AUWi,
    • AUWi Pro
    • Rapid Point 500  
  • SSB-501863 : Bulletin de sécurité général concernant la vulnérabilité CVE-2019-0708.

Siemens a, par ailleurs, promis que certains des correctifs listés seraient disponibles le 3 juin prochain.

Informations
+

Risques

  • Exécution de code arbitraire.

Criticité

  • Score CVSS : 9.80

Existence d’un code d’exploitation de la vulnérabilité

  • Un chercheur sous le pseudonyme Zǝɹosum0x0 a créé un code d'exploitation non encore diffusé et a été en mesure d'exploiter la vulnérabilité sur Windows 7 et Server 2008 R2 . Ce code fonctionne sur le cadriciel de test d'intrusion Metasploit. 

  •  

    Après avoir utilisé l'outil Mimikatz pour extraire les identifiants de connexion pour le système cible, un contrôle total de la machine a pu être réalisé. Le chercheur a publié une vidéo en ce sens démontrant une exploitation réussie d'une machine tournant sous Windows 2008.

     

Composants & versions vulnérables

  • La liste des versions des logiciels impactés est détaillée dans les bulletins fournis par Siemens.

CVE

  • CVE-2019-0708

Recommandations
+

Mise en place de correctif de sécurité

  • Le Patch Tuesday de Microsoft du mois de mai corrige cette vulnérabilité.
  • Un "micropatch" de 0patch payant ne nécessitant aucun redémarrage est également disponible et fonctionne sur les systèmes ne pouvant pas être redémarrés ou mis à jour.

Solution de contournement

  • En cas d'impossibilité de mise à jour des produits, Siemens recommande à ses utilisateurs de désactiver le Remote Desktop Protocol ou de fermer le port 3389.