ГлавнаяБаза уязвимостей БДУ → BDU:2024-04329
6.6высокая

BDU:2024-04329

Уязвимость функции getAllFolderContents() веб-приложения Common Service Desktop систем ультразвуковой диагностики GE HealthCare, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-06-03
Описание

Уязвимость функции getAllFolderContents() веб-приложения Common Service Desktop систем ультразвуковой диагностики GE HealthCare связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Venue Go R2Venue R1Venue R2Voluson Expert 22Voluson Expert 18Voluson Expert 16Voluson SWIFT+Voluson SWIFTVoluson SWIFT BT24Voluson SWIFT+ BT24Invenia ABUS (от 2.0 до 2.2.7 включительно)Vivid E95 (204)Vivid E95 (206)Vivid E90 (206)Vivid E90 (204)Vivid E80 (204)Vivid E80 (206)Vivid S60N (206)Vivid S70N (206)Vivid S70N (204)Vivid S60N (204)Vivid T8 (до 206 включительно)Vivid T9 (до 206 включительно)Vivid iQ (до 206 включительно)Vivid iQ (до 204.117)Vivid T8 (до 204.117)Vivid T9 (до 204.117)Vivid T9 (до 205.117)Vivid T8 (до 205.117)Vivid iQ (до 205.117)
Способ устранения

Использование рекомендаций:
Компенсирующие меры:
- ограничение возможности подключения к устройствам через SMB по 2638 TCP-порту (порт сервера базы данных SQL Anywhere);
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- сегментирование сети для ограничения возможности удалённого доступа к медицинскому оборудованию.

Рекомендации производителя:
https://www.gehealthcare.com/services/lifecycle-management/product-security-portal/security

Оценка CVSS
Балл6.6 — высокая опасность
Источники и патчи
https://www.gehealthcare.com/services/lifecycle-management/product-security-portal/securityhttps://www.nozominetworks.com/blog/ge-healthcare-vivid-ultrasound-vulnerabilitieshttps://vuldb.com/ru/?id.264316
Проверьте безопасность своего сайта и почты → Полная проверка домена