5 vulnérabilités découvertes dans des produits Philips

Philips a découvert cinq nouvelles vulnérabilités dont deux sur les systèmes de gestion de données cardiologiques IntelliSpace Cardiovascular (ISCV), deux sur les électrocardiographes PageWriter TC et une sur le système de surveillance central des constantes vitales patients IntelliVue iX.

Vulnérabilités IntelliSpace Cardiovascular (ISCV)

CVE-2018-14787 [CVSS : 7.3] : Les versions 2.X ou antérieures d’ISCV et Xcelera 4.1 ou antérieures pourraient permettre à un attaquant disposant d’un accès local d’élever ses privilèges au rang d’«administrateur local» et d’avoir les droits d’écriture sur des dossiers contenant des exécutables. Ainsi, il pourrait exécuter du code arbitraire sur la machine.

CVE-2018-14789 [CVSS : 4.2] : Les versions 3.1 ou antérieures d’ISCV et Xcelera 4.1 ou antérieures ne gèrent pas correctement les chemins d’accès aux ressources. Ceci pourrait permettre à un attaquant disposant d’un accès local d’exécuter du code arbitraire et d’élever ses privilèges sur la machine.

Vulnérabilités PageWriter TC

CVE-2018-14799 [CVSS : 5.9] : Les appareils PageWriter TC sont vulnérables à une attaque de type dépassement de tampon. Celle-ci est due à une mauvaise vérification des entrées utilisateurs.

CVE-2018-14801 [CVSS : 6.1] : Les appareils PageWriter TC utilisent un mot de passe codé en dur. Ce mot de passe pourrait permettre à un attaquant disposant d’un accès local de se connecter sur la machine en tant qu'administrateur.

Philips rappelle également à ses clients que le système d’exploitation WinCE5 est obsolète.

Vulnérabilités IntelliVue iX

CVE-1999-0103 [CVSS : 5.7] : Un attaquant pourrait compromettre la disponibilité du système de surveillance central des constantes vitales patients IntelliVue iX de Philips en envoyant plusieurs requêtes UDP.

Informations
+

Risques

  • Atteinte à la disponibilité
  • Exécution de code arbitraire
  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Élévation de privilèges

Criticité

  • CVSS v3 : 7.3 (pour la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Les systèmes :
    • IntelliSpace Cardiovascular  versions 3.1 ou antérieures,
    • Xcelera versions 4.1 ou antérieures.
  • Les électrocardiographes PageWriter TC10, TC20, TC30, TC50, TC70 :
    • Toutes les versions antérieures à mai 2018.
  • La version B.02 des systèmes Philips IntelliVue Information Center iX.

CVE

  • CVE-2018-14787
  • CVE-2018-14789
  • CVE-2018-14799
  • CVE-2018-14801
  • CVE-1999-0103

Recommandations
+

Correctifs

  • ISCV :
    • Dans les versions 2.X ou antérieures d’ISCV, ces vulnérabilités ont été corrigées par la version 3.1 d’ISCV.
    • Dans les versions 3.1 ou antérieures d’ISCV, ces vulnérabilités seront corrigées par la version 3.2 d’ISCV prévue pour octobre 2018.
  • PageWriter TC :
    • Philips a planifié de corriger ces vulnérabilités en mi-2019.
    • Philips conseille de mettre à jour les PageWriter TC 50 et TC 70 vers WinCE7.
  • Philips IntelliVue Information Center iX
    • Philips a planifié de publier un correctif fin septembre 2018.

Solution de contournement