Vulnérabilités dans des produits Baxter

De multiples vulnérabilités ont été découvertes dans plusieurs produits distribués par Baxter, entreprise pharmaceutique. Un attaquant présent dans le réseau local (ou distant dans certains cas) peut obtenir et modifier des données sensibles, incluant des données de santé patient, effectuer un déni de service, voire exécuter des commandes arbitraires.

CVE-2020-12040 [Score CVSS v3 : 7.3] : Une vulnérabilité causée par un manquement de chiffrement des communications a été découverte dans les systèmes de perfusion Baxter Sigma Spectrum. Un attaquant présent dans le même réseau local que l’appareil vulnérable peut lire et modifier les données opérationnelles échangées sur le réseau (attaque de l’homme du milieu).

CVE-2020-12045 [Score CVSS v3 : 8.6] : Une vulnérabilité a été découverte dans les produits Baxter Sigma Spectrum WBM. Un attaquant présent dans le même réseau local que l’appareil vulnérable peut obtenir un accès à un service Telnet dont les identifiants sont programmés en dur dans l’appareil. Des commandes arbitraires peuvent alors être exécutées par l’attaquant.

CVE-2020-12041 [Score CVSS v3 : 8.6] : Une vulnérabilité a été découverte dans les produits Baxter Sigma Spectrum WBM. Un attaquant présent dans le même réseau local que l’appareil vulnérable peut obtenir un accès à un service Telnet dont les identifiants sont programmés en dur dans l’appareil. Des données sensibles de configuration peuvent alors être obtenues, ainsi que la possibilité de redémarrer l’appareil (supprimant ainsi d’éventuels paramètres temporaires).

CVE-2020-12047, CVE-2020-12043 [Score CVSS v3 : 7.3] : Une vulnérabilité a été découverte dans les produits Baxter Sigma Spectrum WBM. Un attaquant présent dans le même réseau local que l’appareil vulnérable peut obtenir un accès à un service FTP dont les identifiants sont programmés en dur dans l’appareil. Des fichiers au contenu potentiellement sensible peuvent alors être obtenus, voire remplacés.

CVE-2020-12048 [Score CVSS v3 : 7.5] : Une vulnérabilité causée par un manquement de chiffrement des communications a été découverte dans les produits Baxter Phoenix Hemodialysis. Un attaquant présent dans le même réseau local que l’appareil vulnérable peut lire et modifier les données opérationnelles de traitement et de prescription échangées sur le réseau (attaque de l’homme du milieu).

CVE-2020-12035 [Score CVSS v3 : 7.6] : Une vulnérabilité causée par un manquement d’authentification a été découverte dans les produits Baxter PrismaFlex et PrisMax. Un attaquant présent dans le même réseau local que l’appareil vulnérable peut ainsi envoyer des informations de traitement falsifiées.

CVE-2020-12016 [Score CVSS v3 : 8.1] : Une vulnérabilité a été découverte dans les produits Baxter ExactaMix. Un attaquant présent dans le même réseau local que l’appareil vulnérable peut s’authentifier en tant qu’administrateur via l’utilisation de mots de passe programmés en dur, obtenant ainsi la possibilité de lire et remplacer des fichiers du système, incluant les configurations de l’appareil et les données de santé patient.

CVE-2020-12008 [Score CVSS v3 : 7.5] : Une vulnérabilité causée par un manquement de chiffrement des communications a été découverte dans les produits Baxter ExactaMix. Un attaquant présent dans le même réseau local que l’appareil vulnérable peut lire et modifier les données échangées sur le réseau, incluant les données de santé patient (attaque de l’homme du milieu).

CVE-2020-12032 [Score CVSS v3 : 8.1] : Une vulnérabilité causée par un manquement de chiffrement de base de données a été découverte dans les produits Baxter ExactaMix. Un attaquant présent dans le même réseau local que l’appareil vulnérable peut lire et modifier les données stockées par l’appareil, incluant les données de santé patient.

CVE-2017-0143 [Score CVSS v3 : 8.1] : Une vulnérabilité provenant de SMBv1 a été découverte dans les produits Baxter ExactaMix. Un attaquant distant exploitant cette vulnérabilité peut accéder à des informations sensibles, provoquer un déni de service ou encore exécuter du code arbitraire via l’envoi d’entrées spécialement conçues au service SMB de l’appareil.

Informations
+

Risques

  • Perte de confidentialité et d’intégrité d’informations sensibles

  • Exécution de commandes arbitraires

  • Déni de service

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 8.6 maximum

Existence d’un code d’exploitation

  • Des codes d’exploitation sont disponibles publiquement pour CVE-2017-0143. L’exploitation des autres vulnérabilités reste également triviale.

Composants vulnérables

  • Baxter Sigma Spectrum Infusion Pumps

  • Baxter Phoenix Hemodialysis Delivery System

  • Baxter PrismaFlex et PrisMax

  • Baxter ExactaMix

La liste exhaustive des versions vulnérables est disponible sur les bulletins sources disponibles en référence.

CVE

  • CVE-2020-12040

  • CVE-2020-12045

  • CVE-2020-12041

  • CVE-2020-12047

  • CVE-2020-12048

  • CVE-2020-12035

  • CVE-2020-12016

  • CVE-2020-12008

  • CVE-2020-12032

  • CVE-2017-0143


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour les appareils PrismaFlex vers la version SW 8.2 ou supérieure

  • Migrer les appareils PrisMax vers PrisMaxv3 avec DCM (Digital Communication Module)

  • Mettre à jour les appareil ExactaMix EM 2400 vers la version 1.13, et les appareils ExactaMix EM1200 vers la version 1.4

  • Aucun correctif de sécurité n’est disponible pour les systèmes de perfusion Baxter Sigma Spectrum

Solution de contournement

  • Il est recommandé par Baxter d’appliquer les mesures de sécurité usuelles au niveau des réseaux hébergeant des appareils vulnérables: chiffrement des communications sans fil (e.g. WPA2), isolation des appareils dans leur propre VLAN, et surveillance des communications réseau.

  • En dernier recours, il peut être considéré de désactiver les fonctionnalités sans-fil des appareils vulnérables pouvant fonctionner sans connectique réseau: il s’agit notamment du cas des systèmes de perfusion Baxter Sigma Spectrum.

Des informations supplémentaires sont disponibles (en anglais), dans les bulletins source disponibles en référence.