Vulnerabilidades en Hospira LifeCare PCA Infusion System

Fecha de publicación:

06/05/2015

Importancia:

5 - Crítica

Recursos afectados:

LifeCare PCA Infusion System, versión 5.0 y anteriores.

Descripción:

Se han descubierto dos vulnerabilidades críticas en Hospira LifeCare PCA Infusion System que podrían ser explotadas por un atacante con pocos conocimientos.

Solución:

Actualizar a la versión 7 en cuanto esté disponible en la web del fabricante.

Detalle:

Autorización indebida

Por defecto, a través del puerto 23 (telnet) se puede conectar sin autenticación y disponer de privilegios root. Se ha asignado el CVE-2015-3459 a esta vulnerabilidad.

Verificación insuficiente de la autenticidad de los datos

Es posible subir librerías, actualizaciones y cambios en configuraciones desde fuentes no autorizadas. Se ha reservado el CVE-2014-5406 para esta vulnerabilidad.

Contraseña embebida

Es posible acceder al dispositivo a través de una serie de cuentas embebidas. Se ha reservado el identificador CVE-2015-1011h.

Almacenamiento de información sensible en texto plano

Las contraseñas Wireless se almacenan en texto plano en la versión 5 de LifeCare PCA Infusion System. Se ha reservado el identificador CVE-2015-1012.

Utilización de versión de software vulnerable

El servidor web incluye versiones vulnerables de AppWeb.

Referencias:

ICS Advisory (ICSA-15-125-01B) Hospira LifeCare PCA Infusion System Vulnerabilities (Update B)

Etiquetas:

Accesos corporativos

Vulnerabilidades en Hospira LifeCare PCA Infusion System

Múltiples vulnerabilidades en múltiples productos de B. Braun Melsungen

Desbordamiento de búfer en 1794-AENT Flex I/O Series B de Rockwell Automation

Autenticación inadecuada en XMC20 Multiservice-Multiplexer de Hitachi ABB Power Grids

Vulnerabilidad de identificación inadecuada en múltiples productos de la serie COMTRAXX de Bender

Múltiples vulnerabilidades en varios productos de Advantech