Alertes de sécurité

bioMérieux surveille en continu l’évolution du contexte global de cybersécurité et évalue les vulnérabilités qui pourraient affecter les produits bioMérieux. Les présentes alertes de sécurité ont pour objet d’informer nos clients de la réponse de bioMérieux aux évènements significatifs de sécurité. 

Multiples vulnérabilités dans la pile TCP/IP Treck (Ripple20)

(Date de dernière mise à jour : 14 octobre 2020)

Une liste de vulnérabilités nommée « Ripple20 » affectant une librairie réseau utilisée dans une grande variété d’équipements connectés a récemment été rendue publique par le groupe de recherche en sécurité JSOF. Certaines des vulnérabilités affectant cette pile TCP/IP développée par Treck Inc. ont été confirmées comme critiques par les CERTs (Computer Emergency Response Teams), car elles pourraient permettre l’exécution de code à distance ou exposer des données sensibles.

Nous avons évalué l’exposition des produits bioMérieux dans le cadre de notre processus continu de veille des menaces et avons identifié que les imprimantes HP SL-M4020ND fournies avec certains de nos systèmes commerciaux par le passé sont affectées par des vulnérabilité Ripple20 lorsqu’elles sont utilisées à travers le réseau plutôt qu’au travers d’une interface USB. Nous recommandons à nos clients de vérifier s’ils utilisent des imprimantes HP SL-M4020ND connectées en réseau avec leurs systèmes bioMérieux et de mettre à jour leur firmware le cas échéant. Plus d’informations et d’instructions sont disponibles dans l’alerte de sécurité HP.

Aucun autre impact sévère n’a été identifié pour l’heure et la présente communication sera mise à jour si ce contexte devait évoluer.

Page du groupe de chercheur JSOF : https://www.jsof-tech.com/ripple20/
Alerte du CERT Coordination Center : https://kb.cert.org/vuls/id/257161
Alerte du CISA Industrial Control System : https://us-cert.cisa.gov/ics/advisories/icsa-20-168-01
Alerte d’HP : https://support.hp.com/sk-en/document/c06640149

Vulnérabilité “Windows CryptoAPI Spoofing”

(Date de dernière mise à jour : 14 octobre 2020)

Microsoft a révélé une vulnérabilité critique (CVE-2020-0601) le 14 janvier 2020, affectant les capacité de Windows à vérifier les signatures numériques. Elle pourrait être exploitée par un logiciel, un site web ou un email malveillant pour qu’il apparaisse comme signé par une autorité de confiance, ou par un attaquant pour déchiffrer des données confidentielles en transit. Microsoft a publié un ensemble de mises à jour de sécurité dans le cadre des mises à jour Windows de Janvier afin de corriger cette vulnérabilité.

Nous recommandons fortement à nos clients utilisant des systèmes bioMérieux fonctionnant avec des systèmes d’exploitation Windows 10 ou Windows Server 2016 d’installer les mises à jour de sécurité Windows de suivant les instructions de mise à jour applicables au système concerné.

Alerte de Microsoft: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

 

Pour toute information complémentaire, veuillez contacter votre représentant de support local.