Deux vulnérabilités découvertes dans les stations de travail Alaris Gateway

Des chercheurs en sécurité de CyberMDX ont découvert deux vulnérabilités, dont une très critique, impactant les stations de travail Alaris Gateway Workstation (AWG) de la société Beckton Dickinson (BD). Ces dernières sont notamment utilisées pour l'alimentation électrique et la connexion réseau de pompes à perfusion.

Ces deux vulnérabilités permettraient à des attaquants à distance de désactiver le périphérique, d'installer des logiciels malveillants, de communiquer de fausses informations, de bloquer la machine, d'installer un agent malveillant pour lancer une attaque sur le réseau ou encore de modifier le débit des pompes à perfusion.

Les deux vulnérabilités peuvent être exploitées à distance et ne nécessitent pas de compétence particulière. Il faut simplement connaître le format utilisés par les périphériques. L'impact estimé sur la confidentialité, l'intégrité et la disponibilité des données est très élevée.

Détails techniques :

CVE-2019-10959 [CVSS v3 10] : Une vulnérabilité qui permet à un attaquant de télécharger des fichiers malveillants pendant une mise à jour du logiciel.

Pour exploiter cette vulnérabilité, un attaquant doit être en mesure :

  1. D'accéder au réseau sur lequel est connecté la machine (par exemple, un réseau hospitalier) ;
  2. De connaître le processus de mise à jour par l'intermédiaire du format de bibliothèque archivée CAB utilisé par Windows CE ;
  3. De créer un exécutable avec du code arbitraire qui peut fonctionner dans l'environnement de type Windows CE avec un installateur spécifique pour le fichier d'archive de type CAB.

CVE-2019-10962 [CVSS v3 7.3] : Une vulnérabilité qui affecte la console de gestion Web des stations de travail et ne nécessite aucune authentification.

Quiconque est en mesure d'accéder au réseau sur lequel la machine ciblée et connectée et connaît l'adresse IP de cette machine peut ainsi surveiller l'état des pompes, accéder aux journaux d'événements (logs), modifier la configuration de la passerelle réseau encore la redémarrer.

Cependant, cette vulnérabilité n'a pas d'impact direct sur la fonctionnalité ou la performance des pompes à perfusion ciblées, car elle affecte uniquement l'application Web utilisée pour l'agrégation des données.

Informations
+

Risques

  • Exécution de code arbitraire
  • Exécution de code arbitraire à distance
  • Atteinte à la confidentialité des données
  • Atteinte à l'intégrité des données
  • Atteinte à la disponibilité des données

Criticité

  • Score CVSS : 10 (Score de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'a été diffusé au jour de cette publication.

Composants & versions vulnérables

  • CVE-2019-10959
    • Les versions 1.3 Build 101.3 MR Build 112 Build 153.0 Build 14 et 3.1 Build 13 de Alaris Gateway Workstation
    • Les produits  suivants dans leur version 2.3.6 ou antérieures :
      • AlarisTM GS ;
      • AlarisTM GH ;
      • AlarisTM CC ;
      • AlarisTM TIVA.
  • CVE-2019-10962
    • AGW Web Browser User Interface: 0.13, 1.3 Build 10, 1.3 MR Build 11,1.5 et 1.6

CVE

  • CVE-2019-10959
    CVE-2019-10962

Recommandations
+

Mise en place de correctif de sécurité

  • BD évalue actuellement d'autres efforts d'assainissement, y compris la suppression du protocole Server Message Block (SMB). De plus amples détails seront fournis dans les 60 jours suivant cette mise à jour originale.
  • CVE-2019-10962 Les clients doivent utiliser la dernière version du firmware 1.3.2 ou 1.6.1.

Solution de contournement

  • CVE-2019-10959
    • Bloquer le protocole SMB