Plusieurs vulnérabilités de sécurité ont été identifiées dans les équipements Philips Vue PACS déployés à travers le monde entier dans le secteur de la santé.

"L'exploitation réussie de ces vulnérabilités pourrait permettre à une personne ou un processus non autorisé d'écouter, de visualiser ou de modifier des données, d'accéder au système, d'exécuter du code, d'installer un logiciel non autorisé ou d'affecter l'intégrité des données du système de manière à avoir un impact négatif sur la confidentialité, l'intégrité ou la disponibilité du système", a indiqué l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans un avis.

Les produits affectés sont :

· VUE Picture Archiving and Communication Systems (versions 12.2.x.x et antérieures).

· Vue MyVue (versions 12.2.x.x et antérieures).

· Vue Speech (versions 12.2.x.x et antérieures).

· Vue Motion (versions 12.2.1.5 et antérieures).

Quatre de ces problèmes (CVE-2020-1938, CVE-2018-12326, CVE-2018-11218, CVE-2020-4670 et CVE-2018-8014), ayant un score CVSS, de 9,8, concernent une validation incorrecte des données d'entrée.

Une autre faille grave (CVE-2021-33020, score CVSS : 8.2) est causée par l'utilisation par la plateforme Vue de clés cryptographiques au-delà de leur date d'expiration établie, "ce qui diminue sa sécurité de manière significative en augmentant la fenêtre de temps pour les attaques de craquage contre cette clé."

D'autres vulnérabilités impliquent l'utilisation d'un algorithme cryptographique cassé ou risqué (CVE-2021-33018), une faille XSS (CVE-2015-9251), des méthodes non sécurisées pour protéger les informations d'authentification (CVE-2021-33024), une initialisation inappropriée ou incorrecte des ressources (CVE-2018-8014) et un manquement aux normes de codage (CVE-2021-27501) qui pourraient augmenter la gravité des autres vulnérabilités.

En attendant la sortie des correctifs, la CISA recommande vivement aux entités de minimiser l'exposition au réseau de tous les dispositifs du système de contrôle et de s'assurer qu'ils ne sont pas accessibles depuis Internet, de segmenter les réseaux du système de contrôle et les dispositifs distants derrière des pare-feu et d'utiliser des réseaux privés virtuels (VPN) pour un accès distant sécurisé.