Vulnérabilités dans les produits Philips Patient Monitoring

De multiples vulnérabilités ont été découvertes dans les produits de surveillance patient “Philips Patient Monitoring”. Un attaquant présent sur le réseau local peut contourner des mécanismes d’authentification et provoquer un déni de service, tandis qu’un attaquant disposant d’un accès physique peut obtenir des privilèges sensibles.

CVE-2020-16228 [Score CVSS v3 : 6.0] : Une vulnérabilité causée par une vérification incorrecte du statut de révocation de certificats a été découverte dans plusieurs produits Philips Patient Monitoring. Un attaquant présent dans le réseau local peut contourner les mécanismes d’authentification du système via un certificat ayant été compromis.

CVE-2020-16224, CVE-2020-16216 [Score CVSS v3 : 6.5] : De multiples vulnérabilités causées par une mauvaise vérification des données entrée par l’utilisateur ont été découvertes dans plusieurs produits Philips Patient Monitoring. Un attaquant non-authentifié présent dans le réseau peut causer des redémarrages inopinés des appareils vulnérables (déni de service) via l’envoi de requêtes HTTP spécialement conçues.

CVE-2020-16212 [Score CVSS v3 : 6.8] : Une vulnérabilité causée par de mauvais contrôles d’accès a été découverte dans plusieurs produits Philips Patient Monitoring. Un attaquant disposant d’un accès physique à l’appareil vulnérable peut obtenir des obtenir des privilèges sensibles en contournant les restrictions du mode kiosque utilisé par le logiciel.

Informations
+

Risques

  • Contournement d’authentification

  • Déni de service

  • Obtention de privilèges sensibles

Criticité

  • Score CVSS v3 : 6.8 maximum

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Patient Information Center iX (PICiX) versions B.02, C.02, C.03

  • PerformanceBridge Focal Point version A.01

  • IntelliVue MX100, MX400-MX850 et MP2-MP90 jusqu’aux versions N incluses

  • IntelliVue X3 et X2 jusqu’aux versions N incluses

CVE

  • CVE-2020-16228

  • CVE-2020-16224

  • CVE-2020-16216

  • CVE-2020-16212


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour les produits utilisés vers une version non-vulnérable (voir la section “Composants vulnérables” )

Solution de contournement

  • Aucune solution de contournement n’est disponible