Les appareils médicaux du fabricant Hillrom Welch Allyn contiennent des failles de sécurité qui permettent un accès non autorisé aux attaquants depuis le réseau. La vulnérabilité est classée à haut risque (CVE-2021-43935, CVSS 8.1). Une mise à jour n’est pas encore disponible, les responsables informatiques doivent s’activer.

L’autorité américaine de cybersécurité CISA explique dans son message de sécurité qu’en raison d’une authentification inappropriée dans les appareils, chaque compte dans un Active Directory peut accéder à l’application sans utiliser de mot de passe. Pour cela, le Single Sign-On doit être activé dans les produits. Le message d’avertissement ne précise pas si c’est le cas par défaut. Les appareils du fabricant, notamment la gamme Connex, sont également disponibles sur le marché allemand.

Contre-mesures

Le message de sécurité énumère les produits concernés :

• Système de test de stress cardiaque Q-Stress de Welch Allyn : versions 6.0.0 à 6.3.1
• Système de test de stress cardiaque Welch Allyn X-Scribe : Version 5.01 à 6.3.1
• Welch Allyn Diagnostic Cardiology Suite : Version 2.1.0
• Welch Allyn Vision Express : Version 6.1.0 à 6.4.0
• Système d’analyse H-Scribe Holter de Welch Allyn : version 5.01 à 6.4.0
• Système R-Scribe Resting ECG de Welch Allyn : versions 5.01 à 7.0.0
• Welch Allyn Connex Cardio : Version 1.0.0 à 1.1.1

Aucune mise à jour n’est disponible pour le moment. Le fabricant recommande donc, à titre de sécurité temporaire, de désactiver le Single-Sign-On dans les paramètres correspondants du Modality Manager. Pour cela, il renvoie au manuel.

Les failles de sécurité dans les appareils médicaux en réseau représentent un danger pour la sécurité des patients. Les hôpitaux sont souvent dans la ligne de mire des pirates, par exemple pour introduire des ransomwares et extorquer de l’argent sous forme de cryptomonnaies. L’un des exemples les plus récents est celui de la clinique de Wolfenbüttel, qui a été victime d’une attaque de ransomware.