BeaconMedaes corrige trois vulnérabilités importantes dans ses systèmes TotalAlert Scroll Medical Air

Trois vulnérabilités, une de criticité moyenne et deux de criticité élevée, ont été corrigées dans l'application Web des systèmes TotalAlert Scroll Medical Air. Une exploitation réussie pourrait permettre à un attaquant de visualiser et éventuellement de modifier certaines informations sur les équipements et les paramètres de configuration de l'application Web. Cependant, une attaque réussie ne permet pas de dégrader ou d'arrêter le service : l'air médical produit reste conforme à la norme NFPA 99.

Il s'agit de trois vulnérabilités référencées comme suit:

CVE-2018-7526 (CVSS - 5.3): Un attaquant pourrait, en visitant une page spécifique sur le serveur Web, obtenir les informations contenues dans l'application sans s'authentifier;

CVE-2018-7518 (CVSS - 7.5): Un attaquant disposant d'un accès réseau au serveur Web pourrait récupérer les identifiants par défaut ou définis par l'utilisateur. Ces informations sont stockées et transmises de manière non sécurisée;

CVE-2018-7515 (CVSS - 7.5): Cette faille concerne la gestion des mots de passe. Ces derniers sont stockés en clair dans un fichier accessible sans authentification.

Informations
+

Impact

  • Confidentialité.
  • Intégrité.

Criticité

  • CVSS v3 : 7.5 (Score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • TotalAlert Scroll Medical Air Systems exécutant les versions logicielles 4107600010.23 et antérieures.

CVE

  • CVE-2018-7526
  • CVE-2018-7518
  • CVE-2018-7515

Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par BeaconMedaes corrigeant la vulnérabilité.
  • La vulnérabilité est corrigée à partir de la version 4107600010.24.
  • BeaconMedaes recommande aux utilisateurs concernés de communiquer directement avec BeaconMedaes au 1-888-4MEDGAS (463-3427) pour obtenir cette mise à jour.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.