Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de autenticación inapropiada en Aestiva y Aespire Anesthesia de GE

Vulnerabilidad de autenticación inapropiada en Aestiva y Aespire Anesthesia de GE

Fecha de publicación: 
15/07/2019
Importancia: 
3 - Media
Recursos afectados: 
  • GE Aestiva y GE Aespire, versiones 7100 y 7900.
  • [Actualización 24/07/2019]:GE Aestiva View, MR.
  • [Actualización 24/07/2019]:GE Aespire 100, Protiva, Carestation, View.
  • [Actualización 24/07/2019]:GE Aisys, Aisys CS2 Avance, Amingi, Avance CS2.
  • [Actualización 24/07/2019]:GE Carestation 620, 650, 650c.
Descripción: 

El investigador Elad Luz, de CyberMDX, ha reportado esta vulnerabilidad, de tipo autenticación inapropiada. La explotación exitosa de esta vulnerabilidad permitiría a un potencial atacante remoto modificar los parámetros de los dispositivos afectados.

Solución: 

GE recomienda a las organizaciones que posean un dispositivo vulnerable utilizar servidores de terminal seguros en el momento de conectarse a los puertos serie de los dispositivos afectados. GE Healthcare planea proporcionar actualizaciones e información de seguridad adicional sobre esta vulnerabilidad para los usuarios afectados en su web.

Detalle: 

Se ha detectado una vulnerabilidad, de tipo autenticación inapropiada, en los dispositivos serie que se conectan a través de un servidor de terminal no seguro, agregado a una configuración de red TCP/IP. Esta vulnerabilidad permitiría a un atacante remoto modificar la configuración del dispositivo y silenciar las alarmas. Se ha asignado el identificador CVE-2019-10966 para esta vulnerabilidad.

Encuesta valoraciĂ³n