Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de GE Healthcare

Fecha de publicación 16/08/2024
Identificador
INCIBE-2024-0405
Importancia
5 - Crítica
Recursos Afectados
  • EchoPAC Software Only, ImageVault and EchoPAC TurnKey.
  • Invenia ABUS 2.0 hasta la versión 2.2.7.
  • Vivid E95, E90, E80, S70N, S60N v204 y v206, excepto v206.82.
  • Vivid T8 /T9 / iq todas las versiones hasta v206, excepto v204.117, v205.117.
  • LOGIQ E10, E10s, Fortis anteriores a revisión R3.2.0.
  • Versana Premier.
  • Versana Active.
  • Versana Balance.
  • Versana Essential R2.
  • Venue.
  • LOGIQ.
  • Voluson Experts.
Descripción

GE HealthCare ha publicado dos nuevos avisos de seguridad en donde corrigen y avisan de ocho vulnerabilidades, una de ellas crítica, cuatro de ellas altas y el resto medias.

Andrea Palanca y Gabriele Quagliarella, de Nozomi Networks, han colaborado durante todo el proceso de divulgación.

Solución

EchoPAC Software Only, ImageVault and EchoPAC TurnKey no dispone de actualización ni parche en el momento de la publicación, sin embargo, solo es vulnerable si se instala con la función EchoPAC Share. EchoPAC Software Only (SWO), instalado sin EchoPAC Share no se ve afectado.

En el caso del resto de productos afectados, se debe actualizar a la última versión disponible.

Detalle

Existe una vulnerabilidad debido a las credenciales almacenadas en el código sin cifrar. Esto permitiría a un atacante control al sistema operativo de los dispositivos afectados, tanto desde una conexión física como por red. Esta vulnerabilidad recibe el identificador, CVE-2024-27107.

El resto de vulnerabilidades puede consultarse en las referencias.