Inicio / Content / Boletín de INCIBE-CERT del 15-11-2019

Boletín de INCIBE-CERT del 15-11-2019

Uso de función obsoleta en CX-Supervisor de Omron

Fecha de publicación: 
15/11/2019
Importancia: 
4 - Alta
Recursos afectados: 

CX-Supervisor versión 3.5 (12) y anteriores.

Descripción: 

El investigador Michael DePlante, de Trend Micro’s Zero Day Initiative, ha reportado una vulnerabilidad de tipo uso de función obsoleta que afecta a CX-Supervisor de Omron. Un atacante remoto podría revelar información o comprometer al sistema y su disponibilidad.

Solución: 

Actualizar a la versión CX-Supervisor 3.51(9).

Detalle: 

CX-Supervisor de Omron se distribuye con Teamviewer versión 5.0.8703 QS. Esta versión de TeamViewer es vulnerable debido al uso de una función obsoleta que requiere la interacción del usuario para ser explotada. Un atacante remoto podría revelar información o comprometer al sistema y su disponibilidad. Se ha reservado el identificador CVE-2019-18251 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-19-318-04) Omron CX-Supervisor
Etiquetas: 
Actualización
SCADA
Vulnerabilidad

Nivel de cifrado inadecuado en IntelliBridge de Philips

Fecha de publicación: 
15/11/2019
Importancia: 
3 - Media
Recursos afectados: 
  • IntelliBridge EC40 Hub, todas las versiones;
  • IntelliBridge EC80 Hub, todas las versiones.
Descripción: 

La explotación exitosa de esta vulnerabilidad permitiría el acceso no autorizado de un atacante al hub EC40/80 de IntelliBridge, lo que le otorgaría acceso para ejecutar software, modificar la configuración del sistema o ver y actualizar archivos, incluyendo datos de pacientes no identificables.

Solución: 

Philips planea publicar una nueva versión para solucionar esta vulnerabilidad a finales del tercer trimestre de 2020.

Detalle: 

El servidor SSH que se ejecuta en los productos afectados está configurado para permitir cifrado débil. Esto podría permitir a un atacante, no autorizado, con acceso a la red, capturar y reproducir la sesión y obtener acceso no autorizado al hub EC40/80. Se ha reservado el identificador CVE-2019-18241 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
Philips IntelliBridge EC40/80 (14 November 2019)
ICS Medical Advisory (ICSMA-19-318-01) Philips IntelliBridge EC40/80
Etiquetas: 
Actualización
Sanidad
Vulnerabilidad