Argitalpen data: 2020/01/24
Garrantzia: Kritikoa
Kaltetutako baliabideak:
GE Healthcare Monitoring plataformen ondoko
bertsioak kaltetuta daude:
- B850, versión 2.X (Afectado por CVE-2020- 6962 y CVE-2020-6965).ApexPro Telemetry Server, 4.2 eta lehenagoko bertsioak;
- CARESCAPE Telemetry Server, 4.2 eta lehenagoko bertsioak;
- Clinical Information Center (CIC), 4.X eta 5.X bertsioak;
- CARESCAPE Telemetry Server, 4.3 bertsioa (CVE-2020- 6962 eta CVE-2020-6961ek eraginda);
- CARESCAPE Central Station (CSCS), 1.X bertsioak;
- CARESCAPE Central Station (CSCS), 2.X bertsioak (CVE-2020-6962 eta CVE-2020-6964-k eraginda);
- B450, 2.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda);
- B650, 1.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda);
- B650, 2.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda);
- B850, 1.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda);
- B850, 2.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda).
Azalpena:
CyberMDXeko Elad Luz-ek GEren produktuei
eragiten dieten era ezberdinetako ahultasunen berri eman du: kredentzialen
biltegiratze ez-babestua, sarreraren egiaztapen desegokia, kredentzialen
erabilpena kodean, funtzio kritikoetarako autentifikazio falta, arriskutsuak
izan litezkeen fitxategien igoera ez-murriztua eta zifratzearen sendotasun
desegokia. Ahultasun horiek arrakastaz baliatuz gero, erasotzaile batek hainbat
saretara sarbidea lor lezake, gailuen monitorizazioa gal dadin eragin, sistema
eragilean aldaketak egin eta kode arbitrarioa exekutatu.
Konponbidea:
Fabrikatzaileak erabiltzaileei gomendatzen
die MC eta IX sareak ondo konfiguratuta daudela baieztatzea, isolamenduak eta
konfigurazioak Patient Monitoring Network Configuration Guide, CARESCAPE
Network Configuration Guide-n eta produktuaren eskuliburu teknikoetan eta
zerbitzuari buruzkoetan zerrendatzen diren baldintzak betetzen dituztela
bermatzeko. Horiek eskuratzeko GErekin harremanetan jarri beharra dago bezeroaren laguntzarako atariaren
bidez zerbitzua jasotzeko baliagarria den kontu batekin.
Horrez gain, GE software
eguneraketak/partxeak garatzen ari da segurtasun hobekuntza osagarriekin. Erabiltzaileak
GEren segurtasun webgunean sar daitezke
informazio eguneratuagoa eskuratzeko.
Xehetasuna:
- Kaltetutako produktuetan dagoen ahultasuna baliatuz, erasotzaile batek konfigurazio fitxategitako SSH gako pribatura sarbidea lor lezake. Ahultasun horretarako CVE-2020-6961 identifikatzailea erreserbatu da.
- Webean oinarritutako sistemaren konfigurazio utilitateak duen sarreraren egiaztatze erako ahultasun bat baliatuz, erasotzaile batek urruneko kode arbitrarioaren exekuzioa egin lezake. Ahultasun horretarako CVE-2020-6962 identifikatzailea erreserbatu da.
- Kaltetutako produktuek kodean barneratutako SMB kredentzialak erabili zituzten, eta hori baliatuz erasotzaile batek kode arbitrarioa exekuta lezake urrunetik. Ahultasun horretarako CVE-2020-6963 identifikatzailea erreserbatu da.
- Kaltetutako gailuetako teklatuaren kommutazio zerbitzu integratua baliatuz, erasotzaileek teklatuaren sarrerara urruneko sarbidea lor lezakete sare bitartez autentifikatu behar izan gabe. Ahultasun horretarako CVE-2020-6964 identifikatzailea erreserbatu da.
- Softwarea eguneratzeko mekanismoak duen ahultasun bat baliatuz, autentifikatutako erasotzaile batek sisteman fitxategi arbitrarioak karga litzake, prestatutako eguneraketa pakete baten bidez. Ahultasun horretarako CVE-2020-6965 identifikatzailea erreserbatu da.
- Kaltetutako produktuek zifratze eskema ahul bat erabiltzen dute mahaigainen urruneko kontrolerako, eta hori baliatuz erasotzaile batek kodearen urruneko exekuzioa egin lezake sareko gailuetan. Ahultasun horretarako CVE-2020-6966 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Osasuna, Ahultasuna