Mise à jour de sécurité GE Healthcare

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 2810
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Mise à jour de sécurité GE Healthcare

Message par charles » 14 mars 2018 17:40

Suite aux travaux de Mr Scott Erven, spécialisé depuis plusieurs années dans la recherche sur les DM, GE Healthcare apporte des correctifs à une grosse liste de ses produits concernés par des credentials codés en dur.

De nombreux dispositifs d’imagerie sont concernés.

Voici la liste complète (en vert les produits pour lesquels un patch est disponible, en rouge ceux pour lesquels il va encore falloir attendre) :

Optima 520, which are medical imaging systems, all versions,
Optima 540, which are medical imaging systems, all versions,
Optima 640, which are medical imaging systems, all versions,

Optima 680, which are medical imaging systems, all versions,
Discovery NM530c, which is a nuclear medical imaging system, versions prior to Version 1.003,
Discovery NM750b, which is a dedicated breast imaging system, versions prior to Version 2.003,
Discovery XR656 and Discovery XR656 Plus, which are digital radiographic imaging systems, all versions,

Revolution XQ/i, which is a medical imaging system, all versions,
THUNIS-800+, which is a stationary diagnostic radiographic and fluoroscopic X-ray system, all versions,

Centricity PACS Server, which is used to support a medical imaging archiving and communication system, all versions,
Centricity PACS RA1000, which is used for diagnostic image analysis, all versions,
Centricity PACS-IW, which is an integrated web-based system for medical imaging, all versions including Version 3.7.3.7 and Version 3.7.3.8,
Centricity DMS, which is a data management software, all versions,
Discovery VH / Millenium VG, which are nuclear medical imaging systems, all versions,
eNTEGRA 2.0/2.5 Processing and Review Workstation, which is a nuclear medicine workstation for displaying, archiving, and communicating medical imaging, all versions,
CADstream, which is a medical imaging software, all versions,
Optima MR360, which is a medical imaging system, all versions,
GEMNet License server (EchoServer), all versions,
Image Vault 3.x medical imaging software, all versions,
Infinia / Infinia with Hawkeye 4 / 1, which are medical imaging systems, all versions,
Millenium MG / Millenium NC / Millenium MyoSIGHT, which are nuclear medical imaging systems, all versions,
Precision MP/i, which is a medical imaging system, all versions, and
Xeleris 1.0 / 1.1 / 2.1 / 3.0 / 3.1, which are medical imaging workstations, all versions.


Pour plus d'informations :

https://ics-cert.us-cert.gov/advisories/ICSMA-18-037-02

http://www3.gehealthcare.com/en/support/security

En annexe Scott Erven à la Def Con 2015 de Las Vegas sur le sujet :

Avatar du membre
charles
Administrateur du site
Messages : 2810
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité GE Healthcare

Message par charles » 12 mai 2018 07:40

Deux vulnérabilités ont été identifiées dans les boitiers Silex Technology intégrés aux systèmes d'analyses ECG MAC de GE Healthcare.

CVE-2018-6020 : L'authentification n'est pas vérifiée lors de certaines requêtes POST, ce qui peut permettre aux attaquants de modifier les paramètres du système. (Score CVSS V3 de 6,5)

CVE-2018-6021 : Un paramètre d'appel système n'est pas correctement filtré, ce qui peut permettre l'exécution de code à distance. (Score CVSS V3 de 7,4)

Produits affectés :

Silex Technology :

GEH-500 Version 1.54 and prior(integrated into GE MobileLink),
SX-500 All Versions (End of Life 2011),
GEH-SD-320AN Version GEH-1.1 and prior (integrated into GE MobileLink), and
SD-320AN Version 2.01 and prior (End of Life Nov 2017).

GE MAC :

MAC 3500,
MAC 5000 (End of Life 2012),
MAC 5500, and
MAC 5500 HD.

Atténuation :

CVE-2018-6020 (GE MobileLink / SX-500) - Activez le compte "mise à jour" dans l'interface Web, qui n'est pas activé par défaut. Définissez le mot de passe secondaire pour le compte "mise à jour" afin d'empêcher toute modification non authentifiée de la configuration de l'appareil.

CVE-2018-6021 (GE MobileLink / GEH-SD-320AN) - Silex Technology et GE Healthcare ont produit une image de micrologiciel mise à jour pour le GEH-SD-320AN, qui sera disponible au téléchargement auprès de GE Healthcare à la fin des tests par 31 mai 2018.

GE Healthcare publiera des informations relatives à l'activation du compte "mise à jour" et au téléchargement du nouveau firmware sur cette page :

http://www3.gehealthcare.com/en/support/security

Informations complémentaires, voir le bulletin de l'ICS CERT du 08/05/2018 : https://ics-cert.us-cert.gov/advisories/ICSMA-18-128-01

Avatar du membre
charles
Administrateur du site
Messages : 2810
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Saint-Flour
Fonction : RSSI
CIL : Non
Site Internet de l'établissement : http://www.ch-stflour.fr
Site Internet personnel ou blog : http://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité GE Healthcare

Message par charles » 20 mai 2018 21:24

De nouveaux firmwares apportant des corrections de vulnérabilités ont récemment été publiés pour GE PACSystems CPE305/310, CPE330, CPE400, RSTi-EP CPE 100, CPU320/CRU320, RXi :

https://ics-cert.us-cert.gov/advisories/ICSA-18-137-01

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »