Múltiples vulnerabilidades en distintos productos de Philips
Fecha de publicación:
19/11/2021
Importancia:
4 -
Alta
Recursos afectados:
- IntelliBridge EC 40 Hub, versión C.00.04 y anteriores;
- IntelliBridge EC 80 Hub, versión C.00.04 y anteriores;
- Centro de información al paciente iX (PIC iX), versiones B.02, C.02 y C.03;
- Efficia CM Series, revisiones de la A.01 a la C.0x y la 4.0.
Descripción:
Los investigadores Younes Dragoni, Andrea Palanca e Ivan Speziale de Nozomi Networks han reportado al CISA dos vulnerabilidades altas y otras tres medias, que podrían permitir a un atacante acceder a datos del paciente, establecer una condición de denegación de servicio, ejecutar software o modificar la configuración del sistema.
Solución:
Philips publicará una actualización próximamente, mientras tanto recomienda las siguientes medidas:
- Utilizar todos los productos de acuerdo a las especificaciones autorizadas por el fabricante, incluyendo el software y su configuración, los servicios de los sistemas y la configuración de seguridad.
- La red en la que se ubica el dispositivo médico debería estar lógicamente o físicamente aislada de la red hospitalaria, como se especifica en la guía Philips Patient Monitoring System Security for Clinical Networks.
Detalle:
- Una vulnerabilidad de credenciales embebidas y otra de omisión de autenticación podrían permitir a un atacante ejecutar software, modificar la configuración del sistema o tener acceso a archivos de datos del paciente. Se han asignado los identificadores CVE-2021-32993 y CVE-2021-33017.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-43548, CVE-2021-43552 y CVE-2021-43550.
Referencias: