Inicio / Content / Boletín de INCIBE-CERT del 14-12-2018

Boletín de INCIBE-CERT del 14-12-2018

Salto de ruta en Mark VIe de GE

Fecha de publicación: 
14/12/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • Mark VIe, versiones desde la 03.03.28C hasta la 05.02.04C
  • EX2100e, EX2100e_Reg y LS2100e, versiones anteriores a la v04.09.00C
Descripción: 

El investigador Can Demirel de Biznet Bilisim ha reportado una vulnerabilidad de tipo salto de ruta que afecta a los dispositivos DCS Mark Vie de GE que podría permitir a un atacante acceder a datos del sistema, dando lugar a un escalado de privilegios y a un acceso sin autorización al controlador.

Solución: 

GE ha solucionado esta vulnerabilidad en la versión actual del software ControlST, la cual se encuentra disponible para usuarios registrados en el portal de GE Power ServiceNow

Detalle: 
  • Un potencial atacante podría obtener acceso a información restringida aprovechando un fallo de restricción de salto de ruta. Se ha asignado el identificador CVE-2018-19003 para esta vulnerabilidad.

Encuesta valoración

Inyección de comandos de sistema operativo en cámaras IP E2 de Geutebrück GmbH

Fecha de publicación: 
14/12/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • Cámaras serie E2, versiones anteriores 1.12.0.25
Descripción: 
  • Un investigador Davy Douhine de RandoriSec ha identificado una vulnerabilidad de inyección de comandos de sistema operativo en las cámaras IP de la serie E2 de Geutebrück GmbH que podría permitir a un atacante remoto ejecutar comandos como usuario “root”.
Solución: 
  • Geutebrück GmbH ha publicado la versión de firmware 1.12.0.25
Detalle: 
  • La configuración de DDNS en el panel de configuración de la cámara podría permitir a un atacante remoto ejecutar comandos como usuario “root”. Se ha reservado el identificador CVE-2018-19007 para esta vulnerabilidad.

Encuesta valoración

Falta de cifrado de datos sensibles en productos CareLink y Encore de Medtronic

Fecha de publicación: 
14/12/2018
Importancia: 
3 - Media
Recursos afectados: 
  • CareLink 9790 Programmer, todas las versiones.
  • CareLink 2090 Programmer, todas las versiones.
  • 29901 Encore Programmer, todas las versiones.
Descripción: 

Los investigadores Billy Rios y Jonathan Butts de Whitescope LLC han identificado una vulnerabilidad de falta de cifrado de datos sensibles que pueden contener información médica protegida o información personal identificable, esto podría permitir a un atacante con acceso físico al dispositivo consultar esta información.

Solución: 
  • El dispositivo CareLink 9790 Programmer está obsoleto, Medtronic recomienda que ya no se utilice más. Además, la compañía recomienda para CareLink 2090 Programmer y 29901 Encore Programmer que se mantenga la información médica y personal almacenada en estos dispositivos el menor tiempo posible. También ha publicado un boletín de seguridad relacionado con este aviso.
Detalle: 
  • Un atacante remoto podría aprovecharse de la falta de cifrado en datos sensibles para conseguir información médica y personal de los usuarios almacenados en los distintos dispositivos. Se ha reservado el identificador CVE-2018-18984 para esta vulnerabilidad.

Encuesta valoración