Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/01/24

Garrantzia: Kritikoa

Kaltetutako baliabideak:

GE Healthcare Monitoring plataformen ondoko bertsioak kaltetuta daude:

• B850, versión 2.X (Afectado por CVE-2020- 6962 y CVE-2020-6965).ApexPro Telemetry Server, 4.2 eta lehenagoko bertsioak;
• CARESCAPE Telemetry Server, 4.2 eta lehenagoko bertsioak;
• Clinical Information Center (CIC), 4.X eta 5.X bertsioak;
• CARESCAPE Telemetry Server, 4.3 bertsioa (CVE-2020- 6962 eta CVE-2020-6961ek eraginda);
• CARESCAPE Central Station (CSCS), 1.X bertsioak;
• CARESCAPE Central Station (CSCS), 2.X bertsioak (CVE-2020-6962 eta CVE-2020-6964-k eraginda);
• B450, 2.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda);
• B650, 1.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda);
• B650, 2.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda);
• B850, 1.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda);
• B850, 2.X bertsioa (CVE-2020-6962 eta CVE-2020-6965ek eraginda).

Azalpena:

CyberMDXeko Elad Luz-ek GEren produktuei eragiten dieten era ezberdinetako ahultasunen berri eman du: kredentzialen biltegiratze ez-babestua, sarreraren egiaztapen desegokia, kredentzialen erabilpena kodean, funtzio kritikoetarako autentifikazio falta, arriskutsuak izan litezkeen fitxategien igoera ez-murriztua eta zifratzearen sendotasun desegokia. Ahultasun horiek arrakastaz baliatuz gero, erasotzaile batek hainbat saretara sarbidea lor lezake, gailuen monitorizazioa gal dadin eragin, sistema eragilean aldaketak egin eta kode arbitrarioa exekutatu.

Konponbidea:

Fabrikatzaileak erabiltzaileei gomendatzen die MC eta IX sareak ondo konfiguratuta daudela baieztatzea, isolamenduak eta konfigurazioak Patient Monitoring Network Configuration Guide, CARESCAPE Network Configuration Guide-n eta produktuaren eskuliburu teknikoetan eta zerbitzuari buruzkoetan zerrendatzen diren baldintzak betetzen dituztela bermatzeko. Horiek eskuratzeko GErekin harremanetan jarri beharra dago bezeroaren laguntzarako atariaren bidez zerbitzua jasotzeko baliagarria den kontu batekin.

Horrez gain, GE software eguneraketak/partxeak garatzen ari da segurtasun hobekuntza osagarriekin. Erabiltzaileak GEren segurtasun webgunean sar daitezke informazio eguneratuagoa eskuratzeko.

Xehetasuna:

• Kaltetutako produktuetan dagoen ahultasuna baliatuz, erasotzaile batek konfigurazio fitxategitako SSH gako pribatura sarbidea lor lezake.  Ahultasun horretarako CVE-2020-6961 identifikatzailea erreserbatu da.
• Webean oinarritutako sistemaren konfigurazio utilitateak duen sarreraren egiaztatze erako ahultasun bat baliatuz, erasotzaile batek urruneko kode arbitrarioaren exekuzioa egin lezake. Ahultasun horretarako CVE-2020-6962 identifikatzailea erreserbatu da.
• Kaltetutako produktuek kodean barneratutako SMB kredentzialak erabili zituzten, eta hori baliatuz erasotzaile batek kode arbitrarioa exekuta lezake urrunetik. Ahultasun horretarako CVE-2020-6963 identifikatzailea erreserbatu da.
• Kaltetutako gailuetako teklatuaren kommutazio zerbitzu integratua baliatuz, erasotzaileek teklatuaren sarrerara urruneko sarbidea lor lezakete sare bitartez autentifikatu behar izan gabe. Ahultasun horretarako CVE-2020-6964 identifikatzailea erreserbatu da.
• Softwarea eguneratzeko mekanismoak duen ahultasun bat baliatuz, autentifikatutako erasotzaile batek sisteman fitxategi arbitrarioak karga litzake, prestatutako eguneraketa pakete baten bidez. Ahultasun horretarako CVE-2020-6965 identifikatzailea erreserbatu da.
• Kaltetutako produktuek zifratze eskema ahul bat erabiltzen dute mahaigainen urruneko kontrolerako, eta hori baliatuz erasotzaile batek kodearen urruneko exekuzioa egin lezake sareko gailuetan. Ahultasun horretarako CVE-2020-6966 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Osasuna, Ahultasuna