Trois vulnérabilités importantes ont été identifiées dans IntelliVue Patient Monitors et Avalon Fetal/Maternal Monitors de Philips

Trois nouvelles vulnérabilités importantes ont été identifiées sur les produits IntelliVue Patient Monitors (surveillance des signaux vitaux du patient) et Avalon Fetal/Maternal Monitors de Philips (surveillance des signaux vitaux de la mère et de son foetus). Leur exploitation pourrait permettre à un attaquant non authentifié d'accéder aux données contenues en mémoire, de les modifier, ou de provoquer un déni de service.

CVE-2018-10597 [CVSS 8.3] : l'exploitation de cette vulnérabilité pourrait permettre à un attaquant non authentifié d'accéder et de modifier la mémoire du système à partir d'une adresse IP dans le même sous-réseau que la victime;

CVE-2018-10599 [CVSS 6.4] : l'exploitation de cette vulnérabilité pourrait permettre à un attaquant non authentifié de lire la mémoire du système à partir d'une adresse IP dans le même sous-réseau que la victime;

CVE-2018-10601 [CVSS 8.2] : Cette vulnérabilité est due à l'exposition du service "echo". En envoyant des données à une adresse IP dans le même sous-réseau que la victime, un attaquant pourrait provoquer ainsi un dépassement de pile.

Informations
+

Impact

  • Déni de service;
  • Confidentialité des données;
  • Intégrité des données.

Criticité

  • CVSS v3 : 8.3 (Score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Les versions suivantes d'IntelliVue Patient Monitors sont vulnérables:

  • IntelliVue Patient Monitors MP Series (MP2/X2/MP30/MP50/MP70/NP90/MX700/800 inclus) Rev B-M;
  • IntelliVue Patient Monitors MX (MX400-550) Rev J-M et (X3/MX100 pour Rev M seulement).

Les versions suivantes d'Avalon Fetal/Maternal Monitors sont vulnérables: 

  • Avalon Fetal/Maternal Monitors FM20/FM30/FM40/FM50 Rev F.0, G.0 and J.3

CVE

  • CVE-2018-10597
  • CVE-2018-10599
  • CVE-2018-10601

Recommandations
+

Correctifs

  • Un patch de sécurité sera publié par Philips corrigeant ces vulnérabilités dans les prochains jours.

Solution de contournement