Múltiples vulnerabilidades en productos de GE HealthCare

Fecha de publicación 14/05/2024
Importancia
4 - Alta
Recursos Afectados
  • Invenia ABUS, versiones 2.0 hasta 2.2.7;
  • Vivid E95, E90, E80, S70N, S60N v204 y v206, excepto v206.82;
  • Vivid T8 /T9 / iq, todas las versiones hasta v206, excepto v204.117, v205.117;
  • LOGIQ E10, E10s, Fortis, versiones anteriores a la revisión R3.2.0;
  • Versana Premier R2 hasta 2.1.8;
  • Versana Balance R2 hasta 2.0.7;
  • Versana Balance R1 hasta 1.0.9;
  • Versana Balance R1 hasta 1.2.3;
  • Versana Active R1 hasta 1.0.9;
  • Versana Active R1 hasta 1.2.2;
  • Versana Premier R1 hasta 1.0.16;
  • Versana Premier R1 hasta 1.2.8;
  • Versana Essential R2 hasta 2.0.3;
  • Venue R1, R2, Go R2, todas las versiones;
  • Venue R3, Go R3, Fit R3, todas las versiones hasta 3.3;
  • Venue R4, Go R4, Fit R4, todas las versiones anteriores a 4.3;
  • LOGIQ e R9, todas las versiones hasta R11.0.3;
  • LOGIQ e R8, todas las versiones hasta R10.1.3;
  • LOGIQ He, todas las versiones hasta R9.3.2;
  • LOGIQ e R7 (9.1.x), todas las versiones hasta R9.1.4;
  • LOGIQ e R7 (9.2.x), todas las versiones hasta R9.2.5;
  • Voluson Expert 16/18/22 todas las versiones;
  • Voluson Expert 16/18/22, BT24 ext 0;
  • Voluson SWIFT/SWIFT+, todas las versiones;
  • Voluson SWIFT/SWIFT+ BT24, todas las versiones.
Descripción

Andrea Palanca, de GE HealthCare, y Gabriele Quagliarella, de Nozomi Networks, han reportado 3 vulnerabilidades, dos de severidad alta y una media, cuya explotación podría permitir a un atacante con acceso físico a los dispositivos afectados inutilizar los mismos.

Solución

GE HealthCare recomienda que las organizaciones adopten las mejores prácticas de seguridad y ciberseguridad, incluida la restricción del acceso físico a los dispositivos por parte de personas no autorizadas.

Detalle

GE HealthCare llevó a cabo una investigación exhaustiva y determinó que, en el improbable caso de que un actor malintencionado con acceso físico inutilizara el dispositivo, habría claros indicadores de ello para el usuario previsto del dispositivo. La vulnerabilidad solo puede ser explotada por alguien con acceso físico directo al dispositivo. GE HealthCare ha determinado que las medidas de mitigación y los controles existentes están en vigor y reducen eficazmente el riesgo en la medida de lo posible, por lo que el riesgo residual asociado a esta vulnerabilidad es aceptable.

Se han asignado los identificadores CVE-2024-1628, CVE-2024-1629 y CVE-2024-1630 para esta vulnerabilidad.

Listado de referencias
Vulnerability disclosure regarding GE HealthCare Common Service Desktop (CSD) component used in ultrasound devices
Etiquetas