Découverte d'une vulnérabilité critique dans les pompes médicales Alaris Plus

Les pompes médicales de la société Becton, Dickinson and Company (BD) présentent une vulnérabilité critique pouvant permettre à un attaquant de se connecter à distance sur l'équipement de manière non autorisée. La vulnérabilité se produit lorsque l'équipement est connecté au serveur via le port série. L'exploitation de cette vulnérabilité pourrait permettre à un attaquant de modifier les paramètres des pompes et d'interrompre les soins médicaux en cours.

Informations
+

Risque

  • Accès distant non autorisé

Criticité

  • CVSS v3 : 9.4

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Alaris GS, versions 2.3.6 et antérieures
  • Alaris GH, versions 2.3.6 et antérieures
  • Alaris CC, versions 2.3.6 et antérieures
  • Alaris TIVA, versions 2.3.6 et antérieures

CVE

  • CVE-2018-14786

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir de la version 2.3.7.

Solution de contournement

  • Il est possible de se prémunir de cette vulnérabilité lorsque l'équipement est relié au serveur "Alaris Gateway Workstation". Par ailleurs, il est également possible de désactiver l'accès distant à l'équipement lorsque cette fonctionnalité n'est pas utilisée ou de placer les équipements dans des sous-réseaux dédiés afin de limiter les possibilités d'exploitation.