9 vulnérabilités (dont une critique) découvertes sur l'outil Philips E-Alert

Neuf vulnérabilités ont été découvertes sur l'outil Philips E-Alert [PEA] qui permet de surveiller les systèmes d’imagerie (IRM, scanner…) et d’identifier les anomalies de fonctionnement de ces dispositifs. L'exploitation de ces vulnérabilités pourraient permettre à un attaquant de lire et modifier les données stockées sur l'outil, de provoquer des arrêts impromptus, et d'exécuter du code arbitraire sur l'outil.

Les vulnérabilités critiques et importantes découvertes sont :

CVE-2018-8856 [CVSS : 9.8] : L'outil PEA utilise une clé cryptographique codée en dur pour chiffrer les données de l’appareil. Un attaquant disposant de la clé pourrait déchiffrer les données gérées par l'outil.

CVE-2018-8842 [CVSS : 7.5] : L'outil PEA ne chiffre pas les échanges de données sensibles. Un attaquant, présent sur le même sous-réseau que l'outil, pourrait intercepter les données transmises et obtenir des identifiants de connexion utilisateurs.

CVE-2018-8850 [CVSS : 7.1] : L’utilisation des ressources de l’outil par un tiers n’est pas contrôlée. Un attaquant pourrait envoyer beaucoup de requêtes à l’outil dans le but de provoquer un déni de service de ce dernier.

CVE-2018-8846 [CVSS : 7.1] : Certaines entrées utilisateurs sont reprises telles quelles par l’appareil et affichées à d’autres utilisateurs. Un attaquant pourrait utiliser cette vulnérabilité pour réaliser une injection de contenu indirecte (XSS).

CVE-2018-8848 [CVSS : 7.1] : Les permissions par défaut accordées par l’outil sont trop laxistes et pourraient permettre à un attaquant d’effectuer des actions non autorisées ou d’accéder à des informations confidentielles.

Les vulnérabilités médiums sont décrites ici.

Informations
+

Risques

  • Atteinte à l’intégrité
  • Atteinte à la confidentialité
  • Atteinte à la disponibilité
  • Exécution de commande arbitraire

Criticité

  • CVSS v3 : 9.8 (Le score CVSS de la vulnérabilité la plus critique)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Toutes les versions sont impactées par ces vulnérabilités.

CVE

  • CVE-2018-8856
  • CVE-2018-8842
  • CVE-2018-8850
  • CVE-2018-8848
  • CVE-2018-8844
  • CVE-2018-8852
  • CVE-2018-14803

Recommandations
+

Correctifs

  • Philips a publié en juin la version R2.1 qui corrige les vulnérabilités CVE-2018-8842, CVE-2018-8850, CVE-2018-8856 et CVE-2018-8852.
  • Les autres vulnérabilités seront corrigées en fin d'année 2018.

Solution d'atténuation

  • Afin de limiter les risques d’exploitation de ces vulnérabilités, le NCCIC recommande :
    • De limiter l’exposition réseau de cet outil, en utilisant des VLANs par exemple. Ces dispositifs ne devraient pas être accessibles depuis Internet.
    • Placer cet outil sur un réseau distinct du réseau « entreprise ».
    • Pour accéder à cet outil à distance, il est nécessaire de mettre en place un moyen d’accès sécurisé. Ceci peut être mis en place par des solutions comme les VPN (Virtual Private Network).