Vulnerabilidades en Hospira LifeCare PCA Infusion System

Fecha de publicación:

06/05/2015

Importancia:

5 - Crítica

Recursos afectados:

LifeCare PCA Infusion System, versión 5.0 y anteriores.

Descripción:

Se han descubierto dos vulnerabilidades críticas en Hospira LifeCare PCA Infusion System que podrían ser explotadas por un atacante con pocos conocimientos.

Solución:

Actualizar a la versión 7 en cuanto esté disponible en la web del fabricante.

Detalle:

Autorización indebida

Por defecto, a través del puerto 23 (telnet) se puede conectar sin autenticación y disponer de privilegios root. Se ha asignado el CVE-2015-3459 a esta vulnerabilidad.

Verificación insuficiente de la autenticidad de los datos

Es posible subir librerías, actualizaciones y cambios en configuraciones desde fuentes no autorizadas. Se ha reservado el CVE-2014-5406 para esta vulnerabilidad.

Contraseña embebida

Es posible acceder al dispositivo a través de una serie de cuentas embebidas. Se ha reservado el identificador CVE-2015-1011h.

Almacenamiento de información sensible en texto plano

Las contraseñas Wireless se almacenan en texto plano en la versión 5 de LifeCare PCA Infusion System. Se ha reservado el identificador CVE-2015-1012.

Utilización de versión de software vulnerable

El servidor web incluye versiones vulnerables de AppWeb.

Referencias:

Advisory (ICSA-15-125-01) Hospira LifeCare PCA Infusion System Vulnerabilities

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Vulnerabilidades en Hospira LifeCare PCA Infusion System

Evasión de autenticación en múltiples productos de ABB

Vulnerabilidad de autenticación inapropiada en Aestiva y Aespire Anesthesia de GE

Vulnerabilidad en dispositivos Holter 2010 Plus de Philips

Múltiples vulnerabilidades en CNCSoft de Delta Electronics

Múltiples vulnerabilidades en productos de Schneider Electric