Découverte d’une vulnérabilité dans la solution Philips de gestion des données obstétricales, IntelliSpace Perinatal

Une faille dans le système de gestion des données obstétricales IntelliSpace de Philips a été découverte. Elle pourrait permettre à des utilisateurs non autorisés de prendre le contrôle de l'appareil.

CVE-2019-13546 [Score CVSSv3 : 6.1] : Une vulnérabilité dans l'environnement d'application IntelliSpace Perinatal pourrait permettre à un attaquant avec des compétences techniques limitées ayant un accès physique à un écran d'application verrouillé ou à une session de bureau à distance de sortir de l’environnement restreint de l'application et d'accéder aux ressources non autorisées du système d'exploitation Windows en tant qu’utilisateur. En raison des vulnérabilités potentielles de Windows, l’attaquant pourrait potentiellement élever ses privilèges sur le système d'exploitation.

Ainsi, un attaquant pourrait exploiter cette vulnérabilité afin d’accéder aux ressources du système d’exploitation sous-jacent afin de visualiser des fichiers ou la configuration du système. Il pourrait également exécuter des commandes arbitraires sur le système. De plus, si les cliniciens ont installé les fonctions d'exportation de documents sur le système de gestion vulnérable, un attaquant pourrait également avoir accès aux dossiers des patients contenant des données de santé à caractère personnel.

Philips a été informé de la vulnérabilité et a publié une mise à jour. La société recommande aux utilisateurs d'utiliser tous les produits Philips IntelliSpace Perinatal à jour. Étant donné que le système de gestion fonctionne avec le système d’exploitation Windows, Philips recommande aux utilisateurs de toujours verrouiller leur session Windows lorsqu'ils n'utilisent pas activement la solution. Philips recommande également d'utiliser la solution avec un compte simple utilisateur (et pas avec un compte administrateur). En outre, les utilisateurs doivent configurer des règles de pare-feu pour empêcher tout accès non autorisé.

Informations
+

Risques

  • Exécution de commande arbitraire
  • Atteinte à la confidentialité des données

Criticité

  • Score CVSS : 6.1

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • IntelliSpace Perinatal Versions K et versions précédentes

CVE

  • CVE-2019-13546

 


Recommandations
+

Mise en place de correctif de sécurité

  • Mettre à jour le logiciel.

Solution de contournement

  • Mettre en place des règles de pare-feu sur le système hébergeant le logiciel
  • Toujours verrouiller Windows lorsque l’appareil n’est pas utilisé
  • Empêcher l’accès physique aux appareils sur lesquels le logiciel est installé