Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de validación de entrada inadecuada en dispositivos BMC Medical y 3B Medical Luna CPAP

Vulnerabilidad de validación de entrada inadecuada en dispositivos BMC Medical y 3B Medical Luna CPAP

Fecha de publicación: 
16/08/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • Dispositivos Luna CPAP (versiones anteriores al 1 de Julio de 2017)
Descripción: 

MedSec ha identificado una vulnerabilidad de validación inadecuada de entrada de datos en dispositivos de presión positiva continua en las vías respiratorias (CPAP). La explotación de esta vulnerabilidad podría permitir a un atacante provocar un bloqueo del módulo Wi-Fi del dispositivo.

Solución: 

Esta vulnerabilidad está solucionada en dispositivos posteriores al 1 de julio de 2017. Para dispositivos anteriores a 1 de julio de 2017, BMC Medical y 3B Medical no existen soluciones disponibles.

Para mitigar el riesgo de explotación de esta vulnerabilidad, se recomiendan las siguientes medidas:

  • Cambiar contraseñas predeterminadas para reducir el riesgo de acceso no autorizado a las configuraciones del dispositivo o a las páginas de administración.
  • Minimizar la exposición a la red para todos los dispositivos y/o sistemas médicos y asegurándose de que no sean accesibles desde Internet.
  • Ubicar todos los dispositivos médicos y dispositivos remotos detrás del cortafuegos y aislarlos de la red.
  • Cuando se requiera acceso remoto, usar métodos seguros, tales como redes privadas virtuales (VPN), considerando que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. También verificar que la VPN utilizada sea tan segura como los dispositivos a los que se conecte.
Detalle: 

MedSec ha identificado una vulnerabilidad de validación de entrada inadecuada en dispositivos de presión positiva continua en las vías respiratorias (CPAP) de BMC Medical y 3B Medical's Luna. 

La explotación de esta vulnerabilidad podría permitir a un atacante provocar un bloqueo del módulo Wi-Fi del dispositivo, generando una denegación del servicio que afectaría al módulo Wi-Fi. Esto no afectaría a la capacidad del dispositivo para administrar la terapia.

Para esta vulnerabilidad se ha asignado el indentificador CVE-2017-12701b.

Etiquetas: