Inicio / Alerta Temprana / Avisos Sci / Credenciales embebidas en múltiples dispositivos médicos de GE

Credenciales embebidas en múltiples dispositivos médicos de GE

Fecha de publicación: 
14/03/2018
Importancia: 
5 - Crítica
Recursos afectados: 

Dispositivos o productos de las siguientes series:

  • Optima
  • Discovery
  • Revolution
  • THUNIS
  • CADstream
  • Infinia
  • Precision
  • Millenium
  • Centricity
  • Xeleris
  • eNTEGRA
  • Image Vault

Para conocer con detalle si su producto se encuentra afectado, por favor, consulte el enlace de la sección Referencias más abajo.

Descripción: 

El investigador independiente, Scott Erven ha publicado información acerca de contraseñas embebidas por defecto en múltiples productos de General Electric. Un usuario malintencionado podría omitir las restricciones de acceso en los dispositivos afectados.

Solución: 

GE ha creado actualizaciones de producto que están disponibles bajo demanda, que reemplazarían las credenciales embebidas por defecto por credenciales personalizadas. Para 3 de los productos afectados, no se ha publicado una actualización:

  • Optima 680
  • Revolution XQ/i
  • THUNIS-800+

En la documentación de los productos, se encuentra documentado como cambiar dichas credenciales por defecto (acción recomendada). Si los propietarios de los productos tuvieran problemas para realizar el cambio de credenciales, se aconseja contactar con el servicio de asistencia de GE.

Detalle: 

Un atacante podría evadir las restricciones de acceso en los productos afectados ya que podría conocer de antemano las credenciales embebidas por defecto si estas no se hubieran cambiado. Se han reservado los siguientes identificadores para las vulnerabilidades descritas en este aviso: CVE-2010-5306, CVE-2009-5143, CVE-2013-7404, CVE-2014-7232, CVE-2010-5310, CVE-2014-7233, CVE-2012-6693, CVE-2012-6694, CVE-2012-6695, CVE-2013-7442, CVE-2017-14008, CVE-2011-5322, CVE-2007-6757, CVE-2003-1603, CVE-2001-1594, CVE-2010-5309, CVE-2010-5307, CVE-2017-14004, CVE-2004-2777, CVE-2017-14002, CVE-2002-2446, CVE-2012-6660 y CVE-2017-14006.

Encuesta valoración