Vulnerabilidades en Hospira LifeCare PCA Infusion System

Fecha de publicación:

06/05/2015

Importancia:

5 - Crítica

Recursos afectados:

LifeCare PCA Infusion System, versión 5.0 y anteriores.

Descripción:

Se han descubierto dos vulnerabilidades críticas en Hospira LifeCare PCA Infusion System que podrían ser explotadas por un atacante con pocos conocimientos.

Solución:

Actualizar a la versión 7 en cuanto esté disponible en la web del fabricante.

Detalle:

Autorización indebida

Por defecto, a través del puerto 23 (telnet) se puede conectar sin autenticación y disponer de privilegios root. Se ha asignado el CVE-2015-3459 a esta vulnerabilidad.

Verificación insuficiente de la autenticidad de los datos

Es posible subir librerías, actualizaciones y cambios en configuraciones desde fuentes no autorizadas. Se ha reservado el CVE-2014-5406 para esta vulnerabilidad.

Contraseña embebida

Es posible acceder al dispositivo a través de una serie de cuentas embebidas. Se ha reservado el identificador CVE-2015-1011h.

Almacenamiento de información sensible en texto plano

Las contraseñas Wireless se almacenan en texto plano en la versión 5 de LifeCare PCA Infusion System. Se ha reservado el identificador CVE-2015-1012.

Utilización de versión de software vulnerable

El servidor web incluye versiones vulnerables de AppWeb.

Referencias:

ICS Advisory (ICSA-15-125-01B) Hospira LifeCare PCA Infusion System Vulnerabilities (Update B)

Etiquetas:

Accesos corporativos

Vulnerabilidades en Hospira LifeCare PCA Infusion System

Protección insuficiente de credenciales en eSOMS de Hitachi ABB Power Grids

Múltiples vulnerabilidades en DIAScreen de Delta Electronics

Credenciales embebidas en productos KR C4 de KUKA

Múltiples vulnerabilidades de G-Cam E2 y G-Code de Geutebrück

Denegación de servicio en productos Mitsubishi Electric