Описание
Уязвимость систем ультразвуковой диагностики GE HealthCare связана с неверным назначением разрешений для критического ресурса. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации и повысить свои привилегии
Вендор
GE Healthcare
Наименование ПО
Invenia ABUS
Vivid E90
Vivid E95
Vivid S60N
Vivid E80
Vivid S70N
Vivid T8
Vivid iQ
Vivid T9
LOGIQ Fortis
LOGIQ E10s
LOGIQ E10
Venue Go R2
Venue R1
Venue R2
Versana Essential R2
Venue Go R3
Venue R3
Venue Go R4
Venue R4
Venue Fit R4
Venue Fit R3
LOGIQ e R9
LOGIQ e R8
LOGIQ e R7 (9.2.x)
LOGIQ e R7 (9.1.x)
LOGIQ He
Voluson Expert 22
Voluson Expert 18
Voluson Expert 16 BT24
Voluson Expert 16
Voluson SWIFT+
Voluson SWIFT
Voluson Expert 22 BT24
Voluson Expert 18 BT24
Voluson SWIFT BT24
Voluson SWIFT+ BT24
Версия ПО
- (Invenia ABUS)
- (Vivid E90)
- (Vivid E95)
- (Vivid S60N)
- (Vivid E80)
- (Vivid S70N)
- (Vivid T8)
- (Vivid iQ)
- (Vivid T9)
- (LOGIQ Fortis)
- (LOGIQ E10s)
- (LOGIQ E10)
- (Venue Go R2)
- (Venue R1)
- (Venue R2)
- (Versana Essential R2)
- (Venue Go R3)
- (Venue R3)
- (Venue Go R4)
- (Venue R4)
- (Venue Fit R4)
- (Venue Fit R3)
- (LOGIQ e R9)
- (LOGIQ e R8)
- (LOGIQ e R7 (9.2.x))
- (LOGIQ e R7 (9.1.x))
- (LOGIQ He)
- (Voluson Expert 22)
- (Voluson Expert 18)
- (Voluson Expert 16 BT24)
- (Voluson Expert 16)
- (Voluson SWIFT+)
- (Voluson SWIFT)
- (Voluson Expert 22 BT24)
- (Voluson Expert 18 BT24)
- (Voluson SWIFT BT24)
- (Voluson SWIFT+ BT24)
Тип ПО
ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- ограничение возможности подключения к устройствам через SMB по 2638 TCP-порту (порт сервера базы данных SQL Anywhere);
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- сегментирование сети для ограничения возможности удалённого доступа к медицинскому оборудованию.
Использование рекомендаций производителя:
https://www.gehealthcare.com/services/lifecycle-management/product-security-portal/security
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 19%
0.0006
Низкий
7.4 High
CVSS3
6.9 Medium
CVSS2
Связанные уязвимости
CVSS3: 7.4
nvd
больше 1 года назад
Elevation of privileges via misconfigured access control list in GE HealthCare ultrasound devices
CVSS3: 7.4
github
больше 1 года назад
Elevation of privileges via misconfigured access control list in GE HealthCare ultrasound devices
EPSS
Процентиль: 19%
0.0006
Низкий
7.4 High
CVSS3
6.9 Medium
CVSS2