Critique CVE-2019-10959 dans AGW Equipement médical
CYBER NOUVELLES

Critique CVE-2019-10959 dans AGW Equipement médical

1 Star2 Stars3 Stars4 Stars5 Stars (Pas encore d'évaluation)
Loading ...

Il est un fait connu que les vulnérabilités dans les dispositifs médicaux peuvent mettre en danger la sécurité physique des patients.

Les chercheurs en sécurité ont découvert deux nouvelles telles vulnérabilités, dont un est critique et pourrait permettre le plein contrôle du dispositif médical. Les défauts résident dans les postes de travail Alaris par passerelle Becton Dickinson, qui sont utilisés pour administrer un médicament fluide.




L'une des vulnérabilités (identifiée en tant que CVE-2019-10959) est situé dans le code du firmware de l'appareil, et est attribué le score le plus élevé de gravité 10. Le bug peut être exploité par un attaquant d'obtenir le contrôle total de l'appareil. L'autre défaut (CVE-2019-10962) est pas aussi grave, mais est toujours dangereuse, car elle affecte l'interface de gestion basée sur le Web du poste de travail.

Les deux vulnérabilités affectent certaines versions de Alaris passerelle du poste de travail Becton Dickinson (AGW), qui fournit une connectivité électrique et réseau de perfusion et pompes seringues. Il est important de noter que AGW ne sont pas disponibles aux États-Unis dans, mais utilisé à travers l'Europe et l'Asie.

En savoir plus sur CVE-2019-10959 et CVE-2019-10962

La vulnérabilité CVE-2019-10959 critique touche 1.1.3 Construire 10, 1.1.3 MR Construire 11, 1.2 Construire 15, 1.3.0 Construire 14, et 1.3.1 Construire 13. CVE-2019-10962 met en danger les versions suivantes: 1.0.13, 1.1.3 Construire 10, 1.1.3 MR Construire 11, 1.1.5, et 1.1.6. En outre, plusieurs autres appareils Alaris sont également touchés - GS, GH, CC et TIVA qui sont tous en cours d'exécution version logicielle 2.3.6, sorti en 2006.

en relation: Attaques point final et la gestion médicale

Une exploitation réussie de la CVE-2019-10959 critique pourrait permettre à un attaquant d'installer à distance firmware malveillant, qui pourrait alors désactiver le poste de travail ou d'altérer sa fonction. Cependant, pour réaliser l'exploit, l'attaquant devrait également avoir accès au réseau hospitalier. Cette tâche ne peut être que difficile du tout, compte tenu du niveau de sécurité dans les organisations de soins de santé.

L'étape suivante, il faudrait que l'attaquant de concevoir un fichier Cabinet de Windows appelé CAB. Le fichier est un format d'archive pour stocker les données relatives aux pilotes Microsoft Windows et les fichiers système. Dans le cas de l'attaque, l'acteur menace piégerait le fichier avec les exécutables malicieux.

La partie la plus dangereuse de l'attaque CVE-2019-10959 permettrait à l'attaquant de mettre à jour le firmware du AGW sur le réseau sans privilèges spéciaux ou l'authentification.

Finalement, l'attaquant devrait être capable d'altérer le dosage du médicament distribué par des modèles spécifiques de pompes à perfusion relié à un dispositif AGW.

En ce qui concerne la référence CVE-2019-10962, le défaut moins grave, il pourrait permettre à un attaquant avec la connaissance de l'adresse IP du périphérique pour accéder à des informations importantes via son interface de navigateur, telles que les données de surveillance, journaux d'événements, guides utilisateur et les paramètres de configuration

Les vulnérabilités ont été découvert par CyberMDX. Les chercheurs ont contacté Becton Dickinson privé, et la société a confirmé les problèmes. Les deux sociétés ont collaboré pour trouver une solution aux insectes.

avatar

Milena Dimitrova

Un écrivain inspiré et gestionnaire de contenu qui a été avec SensorsTechForum pour 4 ans. Bénéficie d' « M.. Robot » et les craintes de 1984 '. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles!

Plus de messages

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Délai est épuisé. S'il vous plaît recharger CAPTCHA.

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...