Des vulnérabilités critiques ont été identifiées dans des logiciels et équipements médicaux de GE

Des vulnérabilités de criticité élevée ont été identifiées dans de nombreux produits de GE Healthcare.

Leur exploitation permettrait à un attaquant de contourner l’authentification sur les systèmes affectés.

De multiples produits de GE Healthcare utilisent des identifiants par défaut ou codés en dur. Un attaquant ayant connaissance de ces identifiants pourrait les utiliser pour se connecter sur les systèmes affectés.

Informations

+

Impact

  • Contournement de l’authentification à distance

Criticité

  • CVSS v3 : 9.8

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Optima 520 ;
  • Optima 540 ;
  • Optima 640 ;
  • Optima 680 ;
  • Discovery NM530c ;
  • Discovery NM750b ;
  • Discovery XR656 et Discovery XR656 Plus ;
  • Revolution XQ/i ;
  • THUNIS-800+ ;
  • Centricity PACS Server ;
  • Centricity PACS RA1000 ;
  • Centricity PACS-IW ;
  • Centricity DMS ;
  • Discovery VH / Millenium VG ;
  • eNTEGRA 2.0/2.5 Processing et Review Workstation ;
  • CADstream ;
  • Optima MR360 ;
  • GEMNet License server (EchoServer) ;
  • Image Vault 3.x medical imaging software ;
  • Infinia / Infinia with Hawkeye 4 / 1 ;
  • Millenium MG / Millenium NC / Millenium MyoSIGHT ;
  • Precision MP/i ;
  • Xeleris 1.0 / 1.1 / 2.1 / 3.0 / 3.1.

CVE

  • CVE-2010-5306 (GE Optima 520, 540, 640, et 680) ;
  • CVE-2009-5143 (GE Discovery NM530c) ;
  • CVE-2013-7404 (GE Discovery NM750b) ;
  • CVE-2014-7232 (GE Discovery XR656 et Discovery XR656 Plus) ;
  • CVE-2010-5310 (GE Revolution XQ/i) ;
  • CVE-2014-7233 (GE THUNIS-800+) ;
  • CVE-2012-6693, CVE-2012-6694, CVE-2012-6695, et CVE-2013-7442 (GE Centricity PACS Server) ;
  • CVE-2017-14008 (GE Centricity PACS RA1000 workstation) ;
  • CVE-2011-5322 (GE Centricity PACS-IW) ;
  • CVE-2007-6757 (GE Centricity DMS) ;
  • CVE-2003-1603 (GE Discovery VH et Millenium VG) ;
  • CVE-2001-1594 (GE eNTEGRA 2.0/2.5 Processing et Review Workstation) ;
  • CVE-2010-5309 (GE CADstream) ;
  • CVE-2010-5307 (GE Optima MR360) ;
  • CVE-2017-14004 (GE GEMNet License server (EchoServer)) ;
  • CVE-2004-2777 (GE Image Vault 3.x) ;
  • CVE-2017-14002 (GE Infinia / Infinia with Hawkeye 4) ;
  • CVE-2002-2446 (GE Millenium MG / Millenium NC / Millenium MyoSIGHT) ;
  • CVE-2012-6660 (GE Precision MP/i) ;
  • CVE-2017-14006 (GE Xeleris 1.0/1.1/2.1/3.0/3.1).
Recommandations

+

Correctifs

  • GE a produit des mises à jour, disponibles sur demande, qui permettent de remplacer les identifiants codés en dur par des identifiants personnalisés.Seuls les produits Optima 680, Revolution XQ/i etTHUNIS-800+ ne sont pas concernés par ces mises à jour.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.
Liens

+