Mise à jour de sécurité Philips

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Mise à jour de sécurité Philips

Message par charles » 18 août 2017 08:07

Une mise à jour de sécurité pour la solution de gestion des expositions aux rayons Philips DoseWise Portal en ce mois d'Août.

Les vulnérabilités annoncées :

- les identifiants et mots de passe d'accès à la base de données sont présents dans le code de l'application (ça c'est vilain :evil: , ça méritait bien un score CVSS v3 de 9,1) [CVE-2017-9656]
- l'application web stocke identifiants et mots de passe en clair dans un fichier système. (là aussi c'est moche, ça mérite bien un score CVSS v3 de 6,5) [CVE-2017-9654]

Pour les versions 2.1.1.3069, il est recommandé d'appliquer la mise à jour 2.1.2.3118.
Pour les versions 1.1.7.333, Philips prendra en charge une reconfiguration afin de chiffrer le stockage des mots de passe.

En attendant, Philips préconise de bloquer l'accès au port 1433, sauf pour les installations avec un serveur SQL externe et de s'assurer des bonnes pratiques sur la configuration de votre réseau :D

Plus d'informations : https://www.usa.philips.com/healthcare/ ... t-security

Source ICS-CERT.

Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Philips

Message par charles » 14 sept. 2017 07:33

Une mise à jour de sécurité pour le moniteur patient portatif Philips IntelliVue MX40 WLAN a été publiée le 11/09/2017 :

https://www.usa.philips.com/healthcare/ ... t-security

Je vous donne plus de détails ici :

viewforum.php?f=172

Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Philips

Message par charles » 16 nov. 2017 07:34

Une nouvelle vulnérabilité dans les dispositifs Philips IntelliSpace Cardiovascular System and Xcelera System a été révélée le 13/11/2017 par le constructeur :

https://www.usa.philips.com/healthcare/ ... t-security

Des patchs pour certains équipements sont déjà disponibles sur demande chez Philips, pour les autres, ils devraient être réalisés d'ici la fin d'année.

Encore du lourd cette vulnérabilité CVE-2017-14111 : informations d'authentification stockées en clair dans les fichiers systèmes de la machine. Exploitation à distance possible. Accès aux données système et patients. Le score CVSS 3 de 7.2 est amplement mérité.

Pour plus d'infos : https://ics-cert.us-cert.gov/advisories/ICSMA-17-318-01

Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Philips

Message par charles » 29 janv. 2018 12:56

Une mise à jour de sécurité pour les dispositifs Philips IntelliSpace Cardiovascular System a été publiée le 24/01/2018 :

https://www.usa.philips.com/healthcare/ ... t-security

La vulnérabilité CVE-2018-5438 corrigée par Philips porte sur le délais d'expiration (trop long) de la session utilisateur s'appuyant sur l'authentification Windows, permettant à un personne non autorisée d'avoir accès à des informations sensibles ou de les altérer. Un score CVSS3 de 6.7 a été attribué à cette vulnérabilité. Même si nous avons vu pire, on ne peut qu'apprécier cette correction.

Pour plus d'informations : https://ics-cert.us-cert.gov/advisories/ICSMA-18-025-01

Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Philips

Message par charles » 29 mars 2018 12:23

Une mise à jour de sécurité pour le dispositif de diagnostic du sommeil Philips Alice 6 a été publiée le 28/03/2018 :

https://ics-cert.us-cert.gov/advisories/ICSMA-18-086-01

Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Philips

Message par charles » 04 mai 2018 18:09

Philips propose de nouveaux firmwares et solutions d'atténuations pour 3 vulnérabilités identifiés sur les scanners de la gamme Brillance :

- Brilliance 64 version 2.6.2 and below,
- Brilliance iCT versions 4.1.6 and below,
- Brillance iCT SP versions 3.2.4 and below, and
- Brilliance CT Big Bore 2.3.5 and below.

Pour plus d'informations : https://ics-cert.us-cert.gov/advisories/ICSMA-18-123-01

Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Philips

Message par charles » 06 juin 2018 10:40

Philips a réalisé des correctifs de sécurité et propose des solution d’atténuation pour ses moniteurs patients IntelliVue Patient et Avalon Fetal Monitors.

3 vulnérabilités dont deux critiques sont corrigées :

3.2.1 IMPROPER AUTHENTICATION CWE-287


The vulnerability allows an unauthenticated attacker to access memory (“write-what-where”) from an attacker-chosen device address within the same subnet.

CVE-2018-10597 has been assigned to this vulnerability. A CVSS v3 base score of 8.3 has been calculated; the CVSS vector string is (AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H).

3.2.2 INFORMATION EXPOSURE CWE-200

The vulnerability allows an unauthenticated attacker to read memory from an attacker-chosen device address within the same subnet.

CVE-2018-10599 has been assigned to this vulnerability. A CVSS v3 base score of 6.4 has been calculated; the CVSS vector string is (AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L).

3.2.3 STACK-BASED BUFFER OVERFLOW CWE-121

The vulnerability exposes an “echo” service, in which an attacker-sent buffer to an attacker-chosen device address within the same subnet is copied to the stack with no boundary checks, hence resulting in stack overflow.

CVE-2018-10601 has been assigned to this vulnerability. A CVSS v3 base score of 8.2 has been calculated; the CVSS vector string is (AV:A/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:H).

Pour plus d'informations, se référer au bulletin de l'ICS Cert :

https://ics-cert.us-cert.gov/advisories/ICSMA-18-156-01

Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Philips

Message par charles » 16 août 2018 08:27

Philips a réalisé des correctifs de sécurité pour les DM suivants :

IntelliSpace Cardiovascular
Xcelera

Pour plus d'informations, voir le bulletin de l'ICS CERT du 14/08/2018 sur ce sujet :

https://ics-cert.us-cert.gov/advisories/ICSMA-18-226-01

Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Philips

Message par charles » 17 août 2018 08:03

Philips annonce pour mi 2019 :o :shock: des correctifs de sécurité pour les électrocardiographes suivants :

PageWriter TC10
PageWriter TC20
PageWriter TC30
PageWriter TC50
PageWriter TC70
Philips a également fourni les informations suivantes concernant les systèmes d'exploitation qui ne sont plus supportés par l'éditeur du système d'exploitation:

- WinCE5 est un système d'exploitation obsolète, qui n'est plus pris en charge par le fabricant du système d'exploitation et s'applique uniquement à PageWriter TC20, TC30, TC50 et TC70.

- PageWriter TC50 et TC70 prennent en charge WinCE7, disponible au téléchargement. Philips recommande de remplacer le TC20 et le TC30 par le TC50 si les clients sont préoccupés par l’obsolescence du système d'exploitation. Pour le TC20, une mise à jour vers un système d'exploitation pris en charge sera publiée d'ici la fin de 2019.
Pour plus d'informations, voir le bulletin de l'ICS CERT du 16/08/2018 sur le sujet : https://ics-cert.us-cert.gov/advisories/ICSMA-18-228-01

Avatar du membre
charles
Administrateur du site
Messages : 3310
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL / DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité Philips

Message par charles » 23 août 2018 09:19

Une vulnérabilité permettant d'effectuer un déni de service via un nombre important de requêtes UDP a été identifié pour les appareils Philips IntelliVue Information Center iX.

En attendant un patch prévu pour septembre, Philips préconise de placer les appareils dans un réseau cloisonné et non accessible depuis Internet.

https://ics-cert.us-cert.gov/advisories/ICSMA-18-233-01

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »