Vulnerabilidades en Hospira LifeCare PCA Infusion System

Fecha de publicación:

06/05/2015

Importancia:

5 - Crítica

Recursos afectados:

LifeCare PCA Infusion System, versión 5.0 y anteriores.

Descripción:

Se han descubierto dos vulnerabilidades críticas en Hospira LifeCare PCA Infusion System que podrían ser explotadas por un atacante con pocos conocimientos.

Solución:

Actualizar a la versión 7 en cuanto esté disponible en la web del fabricante.

Detalle:

Autorización indebida

Por defecto, a través del puerto 23 (telnet) se puede conectar sin autenticación y disponer de privilegios root. Se ha asignado el CVE-2015-3459 a esta vulnerabilidad.

Verificación insuficiente de la autenticidad de los datos

Es posible subir librerías, actualizaciones y cambios en configuraciones desde fuentes no autorizadas. Se ha reservado el CVE-2014-5406 para esta vulnerabilidad.

Contraseña embebida

Es posible acceder al dispositivo a través de una serie de cuentas embebidas. Se ha reservado el identificador CVE-2015-1011h.

Almacenamiento de información sensible en texto plano

Las contraseñas Wireless se almacenan en texto plano en la versión 5 de LifeCare PCA Infusion System. Se ha reservado el identificador CVE-2015-1012.

Utilización de versión de software vulnerable

El servidor web incluye versiones vulnerables de AppWeb.

Referencias:

ICS Advisory (ICSA-15-125-01B) Hospira LifeCare PCA Infusion System Vulnerabilities (Update B)

Etiquetas:

Accesos corporativos

Vulnerabilidades en Hospira LifeCare PCA Infusion System

Acceso no autenticado al servidor web en productos de Phoenix Contact

Múltiples vulnerabilidades en equipos OnCell de Moxa

Múltiples vulnerabilidades en productos de ABB

Ruta de búsqueda no controlada en ProSoft Configurator de Schneider Electric

Múltiples vulnerabilidades en ConnectPort LTS 32 MEI de Digi International