De multiples vulnérabilités identifiées dans les solutions de surveillance des patients de Philips pourraient fournir aux attaquants un accès non autorisé aux données des patients.

Au total, huit problèmes de sécurité ont été identifiés. Bien qu’ils présentent des cotes de gravité de moyen et faible, même des pirates peu qualifiés pourraient les exploiter, la Cybersecurity and Infrastructure Security Agency (CISA) met en garde dans une alerte de sécurité.

«Une exploitation réussie de ces vulnérabilités pourrait entraîner un accès non autorisé, une surveillance interrompue et la collecte d’informations d’accès et / ou de données sur les patients», déclare CISA.

Les failles de sécurité, qui ont été identifiées par des chercheurs avec ERNW dans le cadre d’un projet plus vaste supervisé par l’Office fédéral allemand de la sécurité de l’information (BSI), affectent les systèmes IntelliVue Patient Monitor, le logiciel Patient Information Center iX (PIC iX) et le point focal PerformanceBridge, qui alimente l’activation à distance.

SecurityWeek a appris que les résultats du projet, nommé ManiMed, seront rendus publics en décembre.

Les bogues découverts ont été décrits comme une neutralisation incorrecte des éléments de formule dans un fichier CSV (CVE-2020-16214), des scripts intersites (CVE-2020-16218), une authentification incorrecte (CVE-2020-16222), une vérification incorrecte du certificat révocation (CVE-2020-16228), traitement incorrect de l’incohérence du paramètre de longueur (CVE-2020-16224), validation incorrecte de l’exactitude syntaxique de l’entrée (CVE-2020-16220), validation incorrecte de l’entrée (CVE-2020-16216), et exposition des ressources à la mauvaise sphère de contrôle (CVE-2020-16212).

Philips a émis un avis concernant ces vulnérabilités, confirmant qu’un faible niveau de compétence est requis pour l’exploitation. La société explique également qu’un attaquant cherchant à exploiter les failles doit soit «accéder physiquement aux stations de surveillance et aux moniteurs patients, soit accéder au réseau de dispositifs médicaux».

«Il n’y a pas d’exploits publics connus disponibles pour …

Voir la source de cette publication