Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en dispositivos de monitorización de pacientes de Philips

Múltiples vulnerabilidades en dispositivos de monitorización de pacientes de Philips

Fecha de publicación: 
11/09/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Patient Information Center iX (PICiX), versiones B.02, C.02, C.03;
  • PerformanceBridge Focal Point, versión A.01;
  • IntelliVue patient monitors MX100, MX400-MX850 y MP2-MP90, versiones N y anteriores;
  • IntelliVue X3 y X2, versiones N y anteriores.
Descripción: 

Se han publicado múltiples vulnerabilidades en dispositivos de monitorización de pacientes de Philips que podrían permitir a un atacante el acceso no autorizado a los datos del paciente, reiniciar la aplicación, cerrar el servicio de certificados de forma inesperada, reiniciar el sistema o salir del entorno restringido con privilegios limitados.

Solución: 

Están previstas las siguientes actualizaciones:

  • Patient Information Center iX (PICiX) Version C.03, para finales de 2020;
  • PerformanceBridge Focal Point para el segundo cuatrimestre de 2021;
  • IntelliVue Patient Monitors Versions N.00 and N.01 para el primer cuatrimestre de 2021;
  • IntelliVue Patient Monitors Version M.04 para finales de 2021;
  • El sistema de revocación de certificados será implementado en 2023.
Detalle: 

Los tipos de nuevas vulnerabilidades publicadas se corresponden con los siguientes:

  • Neutralización incorrecta de elementos de fórmula en archivos CSV. Se ha asignado el identificador CVE-2020-16214 para esta vulnerabilidad.
  • Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting). Se ha asignado el identificador CVE-2020-16218 para esta vulnerabilidad.
  • Autenticación incorrecta. Se ha asignado el identificador CVE-2020-16222 para esta vulnerabilidad.
  • Comprobación inadecuada de la revocación de certificados. Se ha asignado el identificador CVE-2020-16228 para esta vulnerabilidad.
  • Manejo inadecuado de la inconsistencia en la longitud de los parámetros. Se ha asignado el identificador CVE-2020-16224 para esta vulnerabilidad.
  • Validación inadecuada del corrector sintáctico de los datos de entrada. Se ha asignado el identificador CVE-2020-16220 para esta vulnerabilidad.
  • Validación incorrecta de entrada. Se ha asignado el identificador CVE-2020-16216 para esta vulnerabilidad.
  • Exposición del recurso a una esfera de control incorrecta. Se ha asignado el identificador CVE-2020-16212 para esta vulnerabilidad.

Encuesta valoración