Multiples vulnérabilités dans des produits GE Healthcare
Date de publication :
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Interruption ou arrêt total d’un dispositif de suivi de patient
- Modification ou interruption d’alarmes pour le suivi d’un patient
Criticité
- Score CVSS v3 : 10 pour cinq vulnérabilités, 8.5 pour une vulnérabilité
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est pour l’instant disponible. Cependant, l’exploitation de ces vulnérabilités ne requiert pas un haut niveau de connaissances.
Composants vulnérables
- ApexPro Telemetry Server, Versions 4.2 et antérieures
- CARESCAPE Telemetry Server, Versions 4.2 et antérieures
- Clinical Information Center (CIC), Versions 4.X et 5.X
- CARESCAPE Telemetry Server, Version 4.3 (Impacté par les CVE-2020-6962 et CVE-2020-6961)
- CARESCAPE Central Station (CSCS), Versions 1.X
- CARESCAPE Central Station (CSCS), Versions 2.X (Impacté par les CVE-2020-6962 et CVE-2020-6964)
- B450, Version 2.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)
- B650, Version 1.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)
- B650, Version 2.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)
- B850, Version 1.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)
- B850, Version 2.X (Impacté par les CVE-2020-6962 et CVE-2020-6965)
CVE
- CVE-2020-6961
- CVE-2020-6962
- CVE-2020-6963
- CVE-2020-6964
- CVE-2020-6965
- CVE-2020-6966
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Aucun correctif de sécurité n’est pour l’instant disponible.
Solution de contournement
- Des solutions de contournement sont décrites ici dans la partie « Mitigations ».