[TLP:CLEAR] GE HealthCare upozorňuje na 11 zraniteľností
Spoločnosť Nozomi Networks informuje o 11 zraniteľnostiach, ktoré boli nájdené v produktoch spoločnosti GE HealthCare, a to v Common Service Desktop a v EchoPAC Software Only. Common Service Desktop je administratávna webová aplikácia, predinštalovaná v niekoľkých GE HealthCare zariadeniach, vrátane ultrazvukových zariadení. EchoPAC Software Only je softvér, slúžiaci na zobrazovanie a analýzu výstupov zariadení od GE HealthCare [1][2]. GE HealthCare neplánuje vydať opravy týchto zraniteľností, preto je silne odporúčané obmedziť sieťový prístup k jednotlivým zraniteľným inštanciám iba na určité dôveryhodné IP adresy a taktiež obmedziť fyzický prístup iba na dôveryhodné osoby. Úspešné zneužitie zraniteľností by mohlo viesť k odcudzeniu alebo znehodnoteniu dát pacientov, prípadne k spôsobeniu nedostupnosti zdravotníckych systémov [1][2]. Najzávažnejšie zraniteľnosti:
Neautentizovaném lokálnemu útočníkovi je v Common Service Desktop umožnené neoprávnene spúšťať systémové príkazy [1].
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2024-1628 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 5. 2024.
Neautentizovanému lokálnemu útočníkovi je v Common Service Desktop umožnené vykonať path traversal útok [1].
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2024-1630 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 5. 2024.
Neuatentizovanému fyzickému útočníkovi je v EchoPAC umožnené neoprávnene pristupovať do systému využitím nedostatočne zabezpečených prihlasovacích údajov [1].
Zraniteľnosť sa nachádza v produkte https://www.nozominetworks.com/blog/ge-healthcare-vivid-ultrasound-vulnerabilities
CVSS: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-27109 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-522: Insufficiently Protected Credentials at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 5. 2024.
Neuatentizovanému lokálnemu útočníkovi je v EchoPAC umožnené neoprávnene pristupovať do systému využitím napevno zadaných prihlasovacích údajov [1].
CVSS: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2024-27107 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-798: Use of Hard-coded Credentials at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 14. 5. 2024.
Odkazy
Publikoval Martin Krajči dňa 20. 5. 2024.
