Philips : Présence d’une vulnérabilité dans les systèmes IntelliSpace Cardiovascular et Xcelera

Philips a signalé une vulnérabilité sur les systèmes de gestion des images et des informations cardiaques IntelliSpace Cardiovascular et Xcelera. Ce produit est largement déployé dans le domaine de la santé et est utilisée aussi bien dans des structures publiques que privées.

La faille de sécurité provient de l’absence de protection des identifiants au sein de l’équipement, rendant ces derniers accessibles en clair au sein du système de fichiers. La vulnérabilité est exploitable à distance et pourrait permettre à un attaquant disposant de privilèges élevés d’accéder aux informations de santé des patients stockées sur le système, de modifier la configuration de l’équipement, ou encore d’obtenir un accès aux équipements connectés au système.

Informations
+

Impact

  • Modification de la configuration de l’équipement
  • Divulgation d’information
  • Rebond sur d’autres équipements réseau

Criticité

  • CVSS v3 : 7.2

Existence d’un code d’exploitation de la vulnérabilité

Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • IntelliSpace Cardiovascular, Version 2.3.0 et antérieures
  • Xcelera, R4.1L1 et antérieures

CVE

  • CVE-2017-14111

Recommandations
+

Correctifs

Philips a publié des mises à jour qui corrigent cette vulnérabilité dans les versions les plus récentes des produits concernés. Pour les versions les plus anciennes, des patchs seront mis en œuvre de manière progressive jusqu’à fin 2017.

Solution de contournement

En l’absence de mise à jour ou de patch, il est recommandé de mettre en place des mesures défensives pour réduire le risque d’occurrence de ces vulnérabilités. Il est par exemple conseillé de :

  • Vérifier que l’équipement n’est pas accessible depuis Internet
  • Limiter l’exposition de l’équipement sur le réseau en désactivant les interfaces inutiles
  • Placer l’équipement derrière un pare-feu et sur un réseau dédié
  • Utiliser un VPN si l’accès à l’équipement est distant