Уязвимость BDU:2024-04328

Идентификатор: BDU:2024-04328.
Наименование уязвимости: Уязвимость функции deleteFiles() веб-приложения Common Service Desktop систем ультразвуковой диагностики GE HealthCare, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации.
Описание уязвимости: Уязвимость функции deleteFiles() веб-приложения Common Service Desktop систем ультразвуковой диагностики GE HealthCare связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: ПО программно-аппаратного средства GE Healthcare Venue Go R2 — | ПО программно-аппаратного средства GE Healthcare Venue R1 — | ПО программно-аппаратного средства GE Healthcare Venue R2 — | ПО программно-аппаратного средства GE Healthcare Voluson Expert 22 — | ПО программно-аппаратного средства GE Healthcare Voluson Expert 18 — | ПО программно-аппаратного средства GE Healthcare Voluson Expert 16 — | ПО программно-аппаратного средства GE Healthcare Voluson SWIFT+ — | ПО программно-аппаратного средства GE Healthcare Voluson SWIFT — | ПО программно-аппаратного средства GE Healthcare Voluson SWIFT BT24 — | ПО программно-аппаратного средства GE Healthcare Voluson SWIFT+ BT24 — | ПО программно-аппаратного средства GE Healthcare Invenia ABUS от 2.0 до 2.2.7 включительно | ПО программно-аппаратного средства GE Healthcare Vivid E95 204 | ПО программно-аппаратного средства GE Healthcare Vivid E95 206 | ПО программно-аппаратного средства GE Healthcare Vivid E90 206 | ПО программно-аппаратного средства GE Healthcare Vivid E90 204 | ПО программно-аппаратного средства GE Healthcare Vivid E80 204 | ПО программно-аппаратного средства GE Healthcare Vivid E80 206 | ПО программно-аппаратного средства GE Healthcare Vivid S60N 206 | ПО программно-аппаратного средства GE Healthcare Vivid S70N 206 | ПО программно-аппаратного средства GE Healthcare Vivid S70N 204 | ПО программно-аппаратного средства GE Healthcare Vivid S60N 204 | ПО программно-аппаратного средства GE Healthcare Vivid T8 до 206 включительно | ПО программно-аппаратного средства GE Healthcare Vivid T9 до 206 включительно | ПО программно-аппаратного средства GE Healthcare Vivid iQ до 206 включительно | ПО программно-аппаратного средства GE Healthcare Vivid iQ до 204.117 | ПО программно-аппаратного средства GE Healthcare Vivid T8 до 204.117 | ПО программно-аппаратного средства GE Healthcare Vivid T9 до 204.117 | ПО программно-аппаратного средства GE Healthcare Vivid T9 до 205.117 | ПО программно-аппаратного средства GE Healthcare Vivid T8 до 205.117 | ПО программно-аппаратного средства GE Healthcare Vivid iQ до 205.117 | ПО программно-аппаратного средства GE Healthcare LOGIQ E10s до R3.2.0 | ПО программно-аппаратного средства GE Healthcare LOGIQ E10 до R3.2.0 | ПО программно-аппаратного средства GE Healthcare LOGIQ Fortis до R3.2.0 | ПО программно-аппаратного средства GE Healthcare Voluson Expert 22 BT24 ext 0 | ПО программно-аппаратного средства GE Healthcare Voluson Expert 18 BT24 ext 0 | ПО программно-аппаратного средства GE Healthcare Voluson Expert 16 BT24 ext 0 | ПО программно-аппаратного средства GE Healthcare LOGIQ e R7 (9.2.x) до R9.2.5 включительно | ПО программно-аппаратного средства GE Healthcare LOGIQ e R7 (9.1.x) до R9.1.4 включительно | ПО программно-аппаратного средства GE Healthcare LOGIQ He до R9.3.2 включительно | ПО программно-аппаратного средства GE Healthcare LOGIQ e R8 до R10.1.3 включительно | ПО программно-аппаратного средства GE Healthcare LOGIQ e R9 до R11.0.3 включительно | ПО программно-аппаратного средства GE Healthcare Venue Fit R4 до 4.3 | ПО программно-аппаратного средства GE Healthcare Venue Go R4 до 4.3 | ПО программно-аппаратного средства GE Healthcare Venue R4 до 4.3 | ПО программно-аппаратного средства GE Healthcare Venue R3 до 3.3 включительно | ПО программно-аппаратного средства GE Healthcare Venue Go R3 до 3.3 включительно | ПО программно-аппаратного средства GE Healthcare Venue Fit R3 до 3.3 включительно | ПО программно-аппаратного средства GE Healthcare Versana Essential R2 до 2.0.3 включительно | ПО программно-аппаратного средства GE Healthcare Versana Premier R1 до 1.2.8 включительно | ПО программно-аппаратного средства GE Healthcare Versana Premier R1 до 1.0.16 включительно | ПО программно-аппаратного средства GE Healthcare Versana Premier R2 до 2.1.8 включительно | ПО программно-аппаратного средства GE Healthcare Versana Active R1 до 1.2.2 включительно | ПО программно-аппаратного средства GE Healthcare Versana Active R1 до 1.0.9 включительно | ПО программно-аппаратного средства GE Healthcare Versana Balance R1 до 1.2.3 включительно | ПО программно-аппаратного средства GE Healthcare Versana Balance R1 до 1.0.9 включительно | ПО программно-аппаратного средства GE Healthcare Versana Balance R2 до 2.0.7 включительно |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 19.02.2024.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:N/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,2)
Возможные меры по устранению:
Использование рекомендаций:
Компенсирующие меры:
— ограничение возможности подключения к устройствам через SMB по 2638 TCP-порту (порт сервера базы данных SQL Anywhere);
— использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
— ограничение доступа к устройству из внешних сетей (Интернет);
— использование виртуальных частных сетей для организации удаленного доступа (VPN);
— сегментирование сети для ограничения возможности удалённого доступа к медицинскому оборудованию.
Рекомендации производителя:
https://www.gehealthcare.com/services/lifecycle-management/product-security-portal/security.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2024-1629.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.gehealthcare.com/services/lifecycle-management/product-security-portal/security
https://www.nozominetworks.com/blog/ge-healthcare-vivid-ultrasound-vulnerabilities
https://vuldb.com/ru/?id.264333



