Vulnerabilidades en Hospira LifeCare PCA Infusion System

Fecha de publicación:

06/05/2015

Importancia:

5 - Crítica

Recursos afectados:

LifeCare PCA Infusion System, versión 5.0 y anteriores.

Descripción:

Se han descubierto dos vulnerabilidades críticas en Hospira LifeCare PCA Infusion System que podrían ser explotadas por un atacante con pocos conocimientos.

Solución:

Actualizar a la versión 7 en cuanto esté disponible en la web del fabricante.

Detalle:

Autorización indebida

Por defecto, a través del puerto 23 (telnet) se puede conectar sin autenticación y disponer de privilegios root. Se ha asignado el CVE-2015-3459 a esta vulnerabilidad.

Verificación insuficiente de la autenticidad de los datos

Es posible subir librerías, actualizaciones y cambios en configuraciones desde fuentes no autorizadas. Se ha reservado el CVE-2014-5406 para esta vulnerabilidad.

Contraseña embebida

Es posible acceder al dispositivo a través de una serie de cuentas embebidas. Se ha reservado el identificador CVE-2015-1011h.

Almacenamiento de información sensible en texto plano

Las contraseñas Wireless se almacenan en texto plano en la versión 5 de LifeCare PCA Infusion System. Se ha reservado el identificador CVE-2015-1012.

Utilización de versión de software vulnerable

El servidor web incluye versiones vulnerables de AppWeb.

Referencias:

ICS Advisory (ICSA-15-125-01B) Hospira LifeCare PCA Infusion System Vulnerabilities (Update B)

Etiquetas:

Accesos corporativos

Vulnerabilidades en Hospira LifeCare PCA Infusion System

Autenticación incorrecta en múltiples dispositivos de ABB

Múltiples vulnerabilidades en Cscape de Horner Automation

Vulnerabilidad en múltiples productos de Eaton

Múltiples vulnerabilidades en Automation Worx Software Suite de Phoenix Contact

Vulnerabilidad de desbordamiento de búfer en el driver IEC870IP de AVEVA