CERT Santé

🔒 𝗩𝘂𝗹𝗻𝗲́𝗿𝗮𝗯𝗶𝗹𝗶𝘁𝗲́ 𝗰𝗿𝗶𝘁𝗶𝗾𝘂𝗲 𝗖𝗩𝗘-𝟮𝟬𝟮𝟰-𝟭𝟮𝟮𝟰𝟴 : Risque d'exécution de code à distance via UDP 🏥   Une nouvelle vulnérabilité, identifiée sous le code CVE-2024-12248, a été découverte. Elle permet lors d'un envoie de requêtes UDP spécialement forgées, une écriture hors des limites de la mémoire. Cela pourrait conduire à une exécution de code à distance, compromettant ainsi la sécurité du système affecté.   💥𝗜𝗺𝗽𝗮𝗰𝘁 : Exécution de code à distance : Les attaquants peuvent exploiter cette vulnérabilité pour exécuter du code malveillant sur le système ciblé depuis le réseau. ⚡️Recommandations : 📌𝗥𝗲́𝗱𝘂𝗰𝘁𝗶𝗼𝗻 𝗱𝗲 𝗹𝗮 𝘀𝘂𝗿𝗳𝗮𝗰𝗲 𝗱'𝗮𝘁𝘁𝗮𝗾𝘂𝗲 : Rendre les dispositifs impactés inaccessibles depuis internet. 📌 𝗦𝘂𝗿𝘃𝗲𝗶𝗹𝗹𝗮𝗻𝗰𝗲 𝗱𝘂 𝘁𝗿𝗮𝗳𝗶𝗰 𝗿𝗲́𝘀𝗲𝗮𝘂 : Mettez en place des mesures pour détecter et bloquer les requêtes UDP suspectes. 📌 𝗦𝗲𝗴𝗺𝗲𝗻𝘁𝗮𝘁𝗶𝗼𝗻 𝗱𝘂 𝗿𝗲́𝘀𝗲𝗮𝘂 : Limitez l'exposition des services vulnérables en segmentant votre réseau. 𝗦𝘆𝘀𝘁𝗲̀𝗺𝗲𝘀 𝗼𝘂 𝗰𝗼𝗺𝗽𝗼𝘀𝗮𝗻𝘁𝘀 𝗮𝗳𝗳𝗲𝗰𝘁𝗲́𝘀 : CMS8000 Patient Monitor version smart3250-2.6.27-wlan2.1.7.cramfs   CMS8000 Patient Monitor version CMS7.820.075.08/0.74(0.75) CMS8000 Patient Monitor version CMS7.820.120.01/0,93(0,95) 𝘌𝘯 𝘴𝘢𝘷𝘰𝘪𝘳 𝘱𝘭𝘶𝘴 : Bulletin CERT Santé : https://lnkd.in/e_eKy35c CISA Advisory : https://lnkd.in/eDiPX2T8 #CVE #Contec #Health

🚨 𝗩𝘂𝗹𝗻𝗲́𝗿𝗮𝗯𝗶𝗹𝗶𝘁𝗲́ 𝗖𝗩𝗘-𝟮𝟬𝟮𝟱-𝟮𝟯𝟬𝟬𝟲 𝗱𝗮𝗻𝘀 𝗦𝗼𝗻𝗶𝗰𝗪𝗮𝗹𝗹 🚨 Une nouvelle vulnérabilité majeure a été découverte dans les dispositifs 𝗦𝗼𝗻𝗶𝗰𝗪𝗮𝗹𝗹 𝗦𝗠𝗔𝟭𝟬𝟬𝟬 (score CVSS : 9.8). Elle permet à des attaquants distants non authentifiés d’exécuter du code malveillant. 💡 Produits impactés : 𝗦𝗼𝗻𝗶𝗰𝗪𝗮𝗹𝗹 𝗦𝗠𝗔𝟭𝟬𝟬𝟬 : version 12.4.3-02804 et antérieur. ⏱️ Actions à réaliser au plus vite : 1️⃣ Mettez à jour vos systèmes vers les versions corrigées (12.4.3-02854 et supérieur). 2️⃣ Restreignez l'accès aux sources de confiance pour l'Appliance Management Console (AMC) et la Central Management Console (CMC). 3️⃣ Surveillez vos journaux pour détecter toute activité suspecte. 📌 Détails : Bulletin CERT Santé : https://lnkd.in/gePwY4tF PSIRT : https://lnkd.in/dWTiaESa

🚨 𝗡𝗼𝘂𝘃𝗲𝗹𝗹𝗲 𝘃𝘂𝗹𝗻𝗲́𝗿𝗮𝗯𝗶𝗹𝗶𝘁𝗲́ 𝗰𝗿𝗶𝘁𝗶𝗾𝘂𝗲 : CVE-2024-55591 🚨 Une vulnérabilité majeure affecte FortiOS et FortiProxy (score CVSS : 9.6). Elle permet à des attaquants de contourner l'authentification et d'obtenir des privilèges d'administrateur via des requêtes WebSocket. 💡 Produits impactés : 𝗙𝗼𝗿𝘁𝗶𝗢𝗦 7.0.0 à 7.0.16 𝗙𝗼𝗿𝘁𝗶𝗣𝗿𝗼𝘅𝘆 7.0.0 à 7.0.19 et 7.2.0 à 7.2.12 ⏱️ Actions à réaliser au plus vite : 1️⃣ Mettez à jour vos systèmes vers les versions corrigées (FortiOS 7.0.17+ et FortiProxy 7.2.13+). 2️⃣ Désactivez ou restreignez l'accès aux interfaces HTTP/HTTPS. 3️⃣ Surveillez vos journaux pour détecter toute activité suspecte. ⚠️ Risque : Compromission complète des systèmes affectés. 📌 Détails : Bulletin CERT Santé : https://lnkd.in/eny6JghF PSIRT : https://lnkd.in/dpj4GdgC #Cybersécurité #CVE

🚨 𝗔𝗹𝗲𝗿𝘁𝗲 𝗖𝗬𝗕𝗘𝗥 : 𝘃𝘂𝗹𝗻𝗲́𝗿𝗮𝗯𝗶𝗹𝗶𝘁𝗲́ 𝗖𝗩𝗘-𝟮𝟬𝟮𝟱-𝟬𝟮𝟴𝟮 𝗱𝗮𝗻𝘀 𝗹𝗲𝘀 𝗽𝗿𝗼𝗱𝘂𝗶𝘁𝘀 𝗜𝘃𝗮𝗻𝘁𝗶 🚨 Une vulnérabilité critique a été identifiée (CVE-2025-0282) permettant à un attaquant non authentifié d'exécuter du code arbitraire à distance. ⚠️ Des exploitations actives ont déjà été observées. 🔎 𝗣𝗿𝗼𝗱𝘂𝗶𝘁𝘀 𝗮𝗳𝗳𝗲𝗰𝘁𝗲́𝘀 : Ivanti Connect Secure : versions 22.7R2 à 22.7R2.4 Ivanti Policy Secure : versions 22.7R1 à 22.7R1.2 Ivanti Neurons for ZTA gateways : versions 22.7R2 à 22.7R2.3 💡 𝗥𝗲𝗰𝗼𝗺𝗺𝗮𝗻𝗱𝗮𝘁𝗶𝗼𝗻𝘀 : 1️⃣ Vérifiez vos appliances avec l’outil Integrity Checker Tool (ICT). 2️⃣ Mise à jour immédiate (après l'ICT Check) : Connect Secure : passez à la version 22.7R2.5 ou ultérieure. Neurons for ZTA gateways : mise à jour prévue le 21 janvier 2025. Policy Secure : correctif attendu le 21 janvier 2025. 3️⃣ En cas de compromission : réinitialisez l’équipement avant d’appliquer les mises à jour (et déclarez le à votre CERT Sectoriel préféré). 🔗 Plus de détails et correctifs disponibles ici : Cyberveille : https://lnkd.in/eQv9ZMNz Bulletin officiel Ivanti : https://lnkd.in/eyHgCZTe Protégez vos systèmes pour éviter une exfiltration de données sensibles ! #CVE #Ivanti #Cybersécurité #CERT #CyberAlert

🚨 𝗖𝘆𝗯𝗲𝗿𝘀𝗲́𝗰𝘂𝗿𝗶𝘁𝗲́ 𝗱𝗲𝘀 𝗵𝗼̂𝗽𝗶𝘁𝗮𝘂𝘅 : 𝘀𝘁𝗼𝗽 𝗮𝘂𝘅 𝘂𝗿𝗴𝗲𝗻𝗰𝗲𝘀 𝗻𝘂𝗺𝗲́𝗿𝗶𝗾𝘂𝗲𝘀 ! Les chiffres sont là : En 2023, 𝟭𝟬 % 𝗱𝗲𝘀 𝗰𝘆𝗯𝗲𝗿𝗮𝘁𝘁𝗮𝗾𝘂𝗲𝘀 𝗽𝗮𝗿 𝗿𝗮𝗻𝗰̧𝗼𝗻𝗴𝗶𝗰𝗶𝗲𝗹𝘀 en France ont visé nos hôpitaux (ces chiffres importants sont aussi dû à l'obligation de déclaration des incidents cyber). Les conséquences ? Données médicales volées, services paralysés, urgences fermées et des pertes qui atteignent parfois 𝟮𝟬 𝗺𝗶𝗹𝗹𝗶𝗼𝗻𝘀 𝗱’𝗲𝘂𝗿𝗼𝘀. ➡️ 𝗣𝗼𝘂𝗿𝗾𝘂𝗼𝗶 𝗻𝗼𝘀 𝗵𝗼̂𝗽𝗶𝘁𝗮𝘂𝘅 𝘀𝗼𝗻𝘁-𝗶𝗹𝘀 𝘀𝗶 𝘃𝘂𝗹𝗻𝗲́𝗿𝗮𝗯𝗹𝗲𝘀 ? Des systèmes informatiques parmi les plus complexes, avec jusqu’à 𝟭 𝟬𝟬𝟬 𝗮𝗽𝗽𝗹𝗶𝗰𝗮𝘁𝗶𝗼𝗻𝘀 𝗱𝗶𝗳𝗳𝗲́𝗿𝗲𝗻𝘁𝗲𝘀 dans les grands CHU. - Un sous-investissement chronique : 𝟭,𝟳 % 𝗱𝗲𝘀 𝗯𝘂𝗱𝗴𝗲𝘁𝘀 𝗱’𝗲𝘅𝗽𝗹𝗼𝗶𝘁𝗮𝘁𝗶𝗼𝗻 𝘀𝗲𝘂𝗹𝗲𝗺𝗲𝗻𝘁 𝗰𝗼𝗻𝘀𝗮𝗰𝗿𝗲́𝘀 𝗮𝘂 𝗻𝘂𝗺𝗲́𝗿𝗶𝗾𝘂𝗲, 𝗰𝗼𝗻𝘁𝗿𝗲 𝟵 % 𝗱𝗮𝗻𝘀 𝗹𝗮 𝗯𝗮𝗻𝗾𝘂𝗲. - Plus de 𝟮𝟬 % 𝗱𝗲𝘀 𝗲́𝗾𝘂𝗶𝗽𝗲𝗺𝗲𝗻𝘁𝘀 𝘀𝗼𝗻𝘁 𝗼𝗯𝘀𝗼𝗹𝗲̀𝘁𝗲𝘀 (postes, serveurs, équipements réseaux). - Une sensibilisation encore insuffisante : les attaques par "vulnérabilité humaine" restent parmi les plus fréquentes. - 𝙇𝙚𝙨 𝙞𝙣𝙛𝙤𝙨𝙩𝙚𝙖𝙡𝙚𝙧𝙨 𝙛𝙤𝙣𝙩 𝙙𝙚𝙨 𝙧𝙖𝙫𝙖𝙜𝙚𝙨 𝙙𝙖𝙣𝙨 𝙣𝙤𝙩𝙧𝙚 𝙙𝙤𝙢𝙖𝙞𝙣𝙚 (𝙉𝘿𝙇𝙍) Mais tout n’est pas perdu. Le CERT Santé, bras armé numérique des établissements de santé, est mobilisé 24/7 pour accompagner face à cette menace croissante : ✔️ 𝗔𝗹𝗲𝗿𝘁𝗲𝘀 𝗲𝘁 𝗽𝗿𝗲́𝘃𝗲𝗻𝘁𝗶𝗼𝗻 : diffusion rapide de failles critiques et solutions techniques. ✔️ 𝗜𝗻𝘁𝗲𝗿𝘃𝗲𝗻𝘁𝗶𝗼𝗻 𝗲𝗻 𝗰𝗮𝘀 𝗱’𝗶𝗻𝗰𝗶𝗱𝗲𝗻𝘁 : analyse, remédiation et accompagnement des hôpitaux pour un retour à la normale. ✔️ 𝗦𝗲𝗻𝘀𝗶𝗯𝗶𝗹𝗶𝘀𝗮𝘁𝗶𝗼𝗻 𝗲𝘁 𝗳𝗼𝗿𝗺𝗮𝘁𝗶𝗼𝗻 : parce qu’une cyberattaque se joue autant sur les claviers que dans la tête des utilisateurs.   💡 𝗗𝗲𝘀 𝗮𝗰𝘁𝗶𝗼𝗻𝘀 𝗽𝗼𝘂𝗿 𝘂𝗻 𝗮𝘃𝗲𝗻𝗶𝗿 𝗽𝗹𝘂𝘀 𝘀𝘂̂𝗿 Grâce au programme 𝗖𝗮𝗥𝗘(Cyberaccélération et Résilience des Établissements), 750 millions d’euros sont investis d’ici 2027 pour moderniser les systèmes et renforcer la sécurité. Mais les défis restent nombreux : Poursuivre cet effort après 2027 pour éviter de retomber dans les mêmes travers. 𝗙𝗼𝗿𝗺𝗲𝗿 𝗺𝗮𝘀𝘀𝗶𝘃𝗲𝗺𝗲𝗻𝘁 𝗹𝗲𝘀 𝗽𝗿𝗼𝗳𝗲𝘀𝘀𝗶𝗼𝗻𝗻𝗲𝗹𝘀 𝗱𝗲 𝘀𝗮𝗻𝘁𝗲́ dès leur cursus initial. 𝗥𝗲𝗻𝗱𝗿𝗲 𝗹𝗲𝘀 𝗮𝘂𝗱𝗶𝘁𝘀 𝗱𝗲 𝗰𝘆𝗯𝗲𝗿𝘀𝗲́𝗰𝘂𝗿𝗶𝘁𝗲́ 𝗼𝗯𝗹𝗶𝗴𝗮𝘁𝗼𝗶𝗿𝗲𝘀 pour harmoniser les niveaux de protection. 📣 𝗟’𝗲𝗻𝗷𝗲𝘂 𝗲𝘀𝘁 𝗰𝗹𝗮𝗶𝗿 : 𝗽𝗿𝗼𝘁𝗲́𝗴𝗲𝗿 𝗹𝗲𝘀 𝗵𝗼̂𝗽𝗶𝘁𝗮𝘂𝘅, 𝗰’𝗲𝘀𝘁 𝗽𝗿𝗼𝘁𝗲́𝗴𝗲𝗿 𝗹𝗮 𝗽𝗿𝗶𝘀𝗲 𝗲𝗻 𝗰𝗵𝗮𝗿𝗴𝗲 𝗱𝗲𝘀 𝗽𝗮𝘁𝗶𝗲𝗻𝘁𝘀. Face à des attaques toujours plus fréquentes et coûteuses, il est urgent de transformer les faiblesses d’hier en résilience pour demain. 🚑 𝗟𝗮 𝗰𝘆𝗯𝗲𝗿𝘀𝗲́𝗰𝘂𝗿𝗶𝘁𝗲́ 𝗻𝗲 𝗽𝗲𝘂𝘁 𝗽𝗹𝘂𝘀 𝗮𝘁𝘁𝗲𝗻𝗱𝗿𝗲. 𝗠𝗼𝗯𝗶𝗹𝗶𝘀𝗼𝗻𝘀-𝗻𝗼𝘂𝘀 𝗱𝗲̀𝘀 𝗺𝗮𝗶𝗻𝘁𝗲𝗻𝗮𝗻𝘁.   #CERTSanté #Cybersécurité #Santé #Résilience

📝 L'ANSSI - Agence nationale de la sécurité des systèmes d'information vient de publier un état de la menace informatique sur le domaine de la Santé ! N'hésitez par à lire le document entier, il est complet et intéressant. Les sujets abordés : • Les particularités des Systèmes Informatiques des Etablissements de Santé • Les types de menaces • Des recommandations (qu'on vous recommande de lire et appliquer) #Cyber #Menace #Health #Santé #Numérique

Le 16 avril 2024, le CERT Santé est intervenu auprès du Centre Hospitalier Simone Veil de Cannes qui a subi une attaque par rançongiciel, entraînant le chiffrement d'un serveur de fichiers et de 15 % des postes de travail. ⚠ La détection de la compromission n'a pu avoir lieu qu'à partir du moment où les utilisateurs ont commencé à remonter des dysfonctionnements et des alertes anti-virales sur leurs postes. La coupure des flux réseau immédiate qui a suivi ces remontées a néanmoins permis d'éviter un déploiement plus large. 💪 Aux côtés du CERT-FR et des différents prestataires impliqués, nous avons pu opérer le suivi de crise et les opérations d'investigation nécessaires pour comprendre l'incident et proposer des opérations de remédiation et de durcissement adéquates, tout en minimisant autant que possible la durée de suspension des métiers de soin impactés. 🛡 A l'issue de cet incident, nous avons eu l'occasion de publier un retour d'expérience sur les grandes lignes de l'opération. https://lnkd.in/eWBgUpXK #chcannes #certsanté #incident ANSSI - Agence nationale de la sécurité des systèmes d'information

⚠ 🚨 ALERTE VULNÉRABILITÉ🚨 ⚠ La vulnérabilité 𝗖𝗩𝗘-𝟮𝟬𝟮𝟰-𝟰𝟱𝟱𝟭𝟵, affectant les produits Zimbra Collaboration est actuellement exploitée par des attaquants.   Pour la sécurité de vos systèmes, mettez à jour vos équipements en version 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9, 10.1.1 ou ultérieure, même si l'interface web n'est pas exposé sur internet. Vérifiez si le service 𝘱𝘰𝘴𝘵𝘫𝘰𝘶𝘳𝘯𝘢𝘭 est activé (par défaut il ne l'est pas). Si vous ne pouvez pas appliquer le patch, désactiver ce service (voir commande en commentaire).   Pour en savoir plus : https://lnkd.in/enszpnXs #Zimbra #CVE #Vulnerability #Patch

🏥 Les dessous d'une coopération interministerielle 🕵️ C'est avec le CSIRT-PJ de l'Office anti-cybercriminalité (OFAC), qu'aux #CNSSIS2024 nous avons présenté un retour d'expérience concernant une prévention victime.   La prévention victime c'est quoi❔ On résume :   1️⃣ La Police Judiciaire reçoit une information sur une potentielle victime à venir en France. 2️⃣ Les ingénieurs identifient que cette future victime est un établissement de santé. 3️⃣ Le CERT Santé étant un acteur sectoriel, ils nous préviennent (toujours un vendredi à 18h 😡). 4️⃣ Nous trouvons un contact interne à l'établissement, (activant nos contacts dans les GradeS, ARS et tissu local des RSSI). 5️⃣ 30 minutes plus tard, nous sommes en cellule de crise, il faut vérifier que les indications données par le partenaire du CSIRT-PJ sont avérées. ➡️ Après quelques recherches dans les logs systèmes et réseaux, on identifie une IP connue et remarquons que l'attaquant est déjà Administrateur de domaine (il faut donc faire vite). ⏱️ 🏰 A ce moment, le plus important est d'isoler l'établissement d'internet, pour que l'attaquant ne puisse plus revenir. 🔜 Les jours suivants, nous analysons les actions de l'attaquant. Trouvons les informations auxquelles il a accédé. Trouvons des indicateurs le concernant. Transmettons le tout à la Police Judiciaire. En parallèle, nous accompagnons l'établissement dans la reconstruction de son SI, en augmentant le niveau de sécurité et en les aidant sur des choix architecturaux.   On résume le résumé (TL;DR) : La Police a une info, nous la donne. On arrive à temps et empêchons l'attaquant de continuer. On trouve des informations sur cet acteur malveillant, on consolide tout ça dans un rapport detaillé. L'établissement ne subit pas de chiffrement, et nous l'accompagnons dans sa reconstruction SI. La police repart avec des infos sous le bras pour faire avancer l'enquête ! Apssis Agence du Numérique en Santé 💾Nha-Khanh NGUYEN 📸 David Piolé

🚨 RETOUR D’EXPERIENCE D’UNE CYBERATTAQUE 📣 🔎 Décryptage de la cyberattaque subie par le CH d'Armentières. Que s’est-il vraiment passé ? ➡️ Le Centre Hospitalier d’Armentières a été victime d’une attaque par rançongiciel résultant en le chiffrement d'une partie du SI. ➡️ L'attaquant a utilisé un compte VPN pour accéder au SI, prendre le contrôle du domaine et chiffrer les systèmes du Centre Hospitalier d’Armentières. Le CERT Santé publie un retour d’expérience sur la prise en charge de l’incident et sur les actions à mener pour renforcer la sécurité. ➡️ Il faut partager ces expériences pour mieux faire face collectivement aux menaces de cybersécurité ! Plus d’informations sur les dispositifs mis en place 👉 https://lnkd.in/gsaewZ6t Retrouvez tous nos retours d’expérience 👉https://lnkd.in/gDjJek-B CHU de Lille Thomas Aubin Agence du Numérique en Santé #CERTSante #Cybersécurité #cyberattaque #hopital #armentieres