Inicio / Alerta Temprana / Avisos Sci / Ejecución de código arbitrario en productos de imagen molecular de Siemens Healthineers

Ejecución de código arbitrario en productos de imagen molecular de Siemens Healthineers

Fecha de publicación: 
18/07/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • Siemens PET/CT Systems: Todas las versiones basadas en Windows XP
  • Siemens SPECT/CT Systems: Todas las versiones basadas en Windows XP
  • Siemens SPECT Systems: Todas las versiones basadas en Windows XP
  • Siemens SPECT Workplaces/Symbia.net: Todas las versiones basadas en Windows XP
Descripción: 

Siemens Healthineers ha informado de varias vulnerabilidades en productos de imagen molecular. Un potencial atacante podría ejecutar código arbitrario de forma remota en los productos afectados.

Solución: 

Por el momento no existe solución para estas vulnerabilidades, pero Siemens Healthineers está trabajando en una actualización para mitigarlas y recomienda proteger el acceso desde la red a los productos de imagen molecular con los mecanismos apropiados, además de ejecutar los dispositivos en un segmento de red dedicado y protegido de la red TI.

Si las medidas anteriores no pueden ser aplicadas, entonces se recomienda:

  • Si la seguridad del paciente y el tratamiento no son un riesgo, desconectar el equipo de la red y usar en modo standalone.
  • Reconectar el producto solo después de aplicar el parche.

Además, Siemens Healthineers recomienda:

  • Asegurarse de disponer las copias de respaldo adecuadas y los procedimientos de restauración del sistema
  • Para información específica sobre el parche o las remediaciones, contactar con el proveedor local, el portal o el centro regional de soporte.
Detalle: 
  • Un atacante remoto no autenticado podría ejecutar código arbitrario mediante el envío de una petición de Remote Procedure Call (RPC) especialmente manipulada al servicio Server del sistema Windows afectado. Se ha reservado el identificador CVE-2008-4250 para esta vulnerabilidad.
  • Un atacante remoto no autenticado podría ejecutar código arbitrario con los permisos del servidor web mediante el envío de una petición HTTP especialmente manipulada al servicio WebDAV. Se ha reservado el identificador CVE-2017-7269 para esta vulnerabilidad.