Découverte de deux vulnérabilités sur le matériel Zoom Latitude PRM

Deux chercheurs en sécurité,  Jonathan Butts et Billy Rios, ont découvert deux vulnérabilités sur le  système de gestion du rythme cardiaque Zoom Latitude PRM utilisé pour communiquer avec les stimulateurs cardiaques et les défibrillateurs. Ces vulnérabilités permettent à un attaquant d’accéder aux données de santé des patients utilisant l’appareil.

L’exploitation de ces vulnérabilités nécessite que l’attaquant accède physiquement à la machine pour accéder aux supports de stockage.

La première vulnérabilité est due à l’utilisation d’une clef cryptographique codée en dur dans l’équipement pour chiffrer les données patient avant de les copier sur un support amovible. Un attaquant en mesure d’accéder à l’équipement serait ainsi en mesure de récupérer la clé pour déchiffrer les informations sur le support externe.

La deuxième vulnérabilité concerne le stockage non chiffré des données sur l’équipement. Un attaquant en mesure d’accéder à l’équipement pourrait ainsi récupérer l’ensemble des données des utilisateurs de ce dernier.

La vulnérabilité nécessitant un accès physique à l’équipement, l’éditeur n’a pas publié de correctif sur ces vulnérabilités, mais a proposé quelques mesures de contrôle à implémenter autour de l’équipement.

Informations
+

Impact

  • Divulgation d’information
  • Atteinte à la confidentialité

Criticité

  • CVSS : 4.6

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de cette vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • ZOOM LATITUDE PRM – Model 3120, toutes versions

CVE

  • CVE-2017-14012
  • CVE-2017-14014

Recommandations
+

Correctifs

Aucun correctif de sécurité n’est disponible à ce jour.

Solution de contournement

En l’absence de correctif de sécurité, l’éditeur propose de suivre les mesures de contrôle suivantes :

  • Mettre en place un contrôle d’accès physique sur l’appareil et répertorier l’ensemble des accès à l’équipement
  • Stocker l’équipement dans un local fermé après utilisation
  • Effacer les données des patients en cas de mise au rebut ou de transfert de l’équipement