Découverte de vulnérabilités critiques dans les appareils Valleylab FT10 and FX8 de Medtronic

Des vulnérabilités ont été découvertes dans les appareils Valleylab FT10 and FX8 de Medtronic. Elles permettent à un attaquant d'accéder à des fichiers en tant qu’administrateur et d’exécuter du code arbitraire à distance.

CVE-2019-3464 et  CVE-2019-3463 [Score CVSSv3 : 9.8] : Les produits concernés utilisent une version vulnérable de rssh (utilitaire permettant de faciliter le téléchargement de fichier). Un attaquant pourrait exploiter les vulnérabilités de rssh afin d’obtenir un accès administratif sur les fichiers (lecture et écriture) ou d'exécuter du code à distance et ce sans authentification. Il est cependant à noter que les connexions réseau de ces périphériques sont désactivées par défaut et que le port Ethernet est désactivé au redémarrage. Cependant, la connectivité réseau est souvent activée par les utilisateurs.

Informations
+

Risques

  • Exécution de code arbitraire à distance
  • Lecture/Modification de fichiers

Criticité

  • Score CVSS : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • Valleylab FT10
  • Valleylab FX8

CVE


Recommandations
+

Mise en place de correctif de sécurité

  • Des correctifs logiciels sont actuellement disponibles pour la plate-forme FT10 et seront disponibles début 2020 pour la plate-forme FX8. Jusqu'à ce que ces mises à jour puissent être appliquées, Medtronic recommande soit de déconnecter les produits concernés du réseau, soit de segmenter ces réseaux, de sorte que les dispositifs ne soient pas accessibles à partir d'un réseau non fiable (par exemple, Internet). Les correctifs peuvent être téléchargés à l'adresse suivante : https://www.medtronic.com/covidien/en-us/support/software.html
  • Medtronic a publié des informations supplémentaires axées sur le patient, à l'adresse suivante : https://www.medtronic.com/security

Solution de contournement

  • Aucune solution n'a été proposée autre que la mise à jour.