Inicio / Content / Boletín de INCIBE-CERT del 19-06-2020

Boletín de INCIBE-CERT del 19-06-2020

Múltiples vulnerabilidades en varios productos de Baxter

Fecha de publicación: 
19/06/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • ExactaMix EM2400, versiones 1.10, 1.11, 1.13 y 1.14;
  • ExactaMix EM1200, versiones 1.1, 1.2, 1.4 y 1.5;
  • PrismaFlex, todas las versiones;
  • PrisMax, todas las versiones anteriores a 3.x;
  • Phoenix Hemodialysis Delivery System SW, versiones 3.36 y 3.40.
Descripción: 

Baxter ha reportado 11 vulnerabilidades a CISA, 6 con severidad alta y 5 medias, de tipo uso de credenciales en texto claro, transmisión de información sensible en texto claro, falta de cifrado de información sensible, control de acceso inadecuado, exposición de recursos a usuarios inadecuados, validación incorrecta de datos de entrada y autenticación inadecuada.

Solución: 
  • Los usuarios de ExactaMix EM 2400, versiones 1.10 y 1.11, y de ExactaMix EM1200, versiones 1.1 y 1.2, deben actualizar a ExactaMix 1.4 (EM1200) y ExactaMix 1.13 (EM2400);
  • actualizar PrismaFlex a la versión 8.2x o posteriores;
  • actualizar PrisMax a PrisMaxv3 con DCM (Digital Communication Module);
  • a mayores, Baxter recomienda aplicar a todos sus usuarios las medidas de mitigación especificadas en sus respectivos avisos.
Detalle: 
  • El uso de credenciales de cuenta administrativa en claro permitiría a un atacante con acceso no autorizado a los recursos del sistema, incluido el acceso para ejecutar software o para ver/modificar archivos, directorios o la configuración del sistema, consultar datos confidenciales, incluida la PHI. Se ha reservado el identificador CVE-2020-12016 para esta vulnerabilidad.
  • La utilización de mensajes de texto sin formato para comunicar información de pedidos, permitiría que un atacante accediese a la red y visualizase datos confidenciales, incluida la PHI. Se ha reservado el identificador CVE-2020-12008 para esta vulnerabilidad.
  • El almacenamiento de datos del dispositivo con información confidencial en una base de datos sin cifrar, podría permitir que un atacante con acceso a la red vea o modifique datos confidenciales, incluida la PHI. Se ha reservado el identificador CVE-2020-12032 para esta vulnerabilidad.
  • La validación incorrecta de datos de entrada a través del puerto SMBv1 podría afectar al flujo de control o al flujo de datos de un sistema, lo que permitiría a un atacante remoto obtener acceso no autorizado a información confidencial, crear condiciones de denegación de servicio (DoS) o ejecutar código arbitrario. Se ha asignado el identificador CVE-2017-0143 para esta vulnerabilidad.
  • Los dispositivos afectados no requieren autenticación cuando se configuran para enviar datos de tratamiento a un sistema PDMS o EMR. Esto podría permitir a un atacante modificar la información del estado del tratamiento. Se ha reservado el identificador CVE-2020-12035 para esta vulnerabilidad.
  • Un atacante con acceso a la red podría observar el tratamiento sensible y los datos de prescripción enviados entre el sistema Phoenix y la herramienta Exalis debido a la imposibilidad de cifrar los datos en tránsito, por ejemplo con TLS/SSL. Se ha reservado el identificador CVE-2020-12048 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media, se han reservado los identificadores CVE-2020-12012, CVE-2020-12024, CVE-2020-12020, CVE-2020-12036 y CVE-2020-12037.

Encuesta valoración

Múltiples vulnerabilidades en BIOTRONIK CardioMessenger II

Fecha de publicación: 
19/06/2020
Importancia: 
3 - Media
Recursos afectados: 
  • CardioMessenger II-S T-Line T4APP 2.20;
  • CardioMessenger II-S GSM T4APP 2.20.
Descripción: 

Múltiples vulnerabilidades podrían permitir a un atacante obtener datos confidenciales, obtener datos médicos transmitidos de dispositivos cardíacos implantados con el número de serie del implante, afectar a la funcionalidad del producto Cardio Messenger II o influir en las comunicaciones entre la Unidad HMU y la APN.

Solución: 

BIOTRONIK informa que no emitirán una actualización de seguridad del producto, sin embargo ha implementado controles adicionales para reducir el riesgo de explotación y prevenir los riesgos de seguridad del paciente. Recomienda a los usuarios que tomen las siguientes medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades:

  • Mantener un buen control físico sobre las unidades de monitoreo en el hogar.
  • Utilizar solo unidades de monitorización en el hogar que hayan sido obtenidas directamente de un proveedor de atención médica de confianza o un representante de BIOTRONIK para garantizar la integridad del sistema.
  • Informar de cualquier comportamiento relacionado con estos productos a su proveedor de atención médica o un representante de BIOTRONIK.
Detalle: 
  • Los productos afectados no imponen correctamente la autenticación mutua con la infraestructura de comunicación remota de BIOTRONIK. Se ha reservado el identificador CVE-2019-18246 para esta vulnerabilidad.
  • Los productos afectados transmiten credenciales en texto claro antes de cambiar a un canal de comunicación cifrado. Un atacante podría revelar las credenciales del cliente del producto para conectarse a la infraestructura de comunicación remota de BIOTRONIK. Se ha reservado el identificador CVE-2019-18248 para esta vulnerabilidad.
  • Los productos afectados permiten la reutilización de credenciales para múltiples propósitos de autenticación. Un atacante con acceso adyacente al CardioMessenger podría revelar las credenciales utilizadas para conectarse a la infraestructura de comunicación remota de BIOTRONIK. Se ha reservado el identificador CVE-2019-18252 para esta vulnerabilidad.
  • Los productos afectados no cifran información confidencial, mientras están en reposo. Un atacante con acceso físico al CardioMessenger podría obtener datos de mediciones médicas y el número de serie del dispositivo cardíaco implantado con el que está emparejado el CardioMessenger. Se ha reservado el identificador CVE-2019-18254 para esta vulnerabilidad.
  • Los productos afectados utilizan credenciales individuales por dispositivo que se almacenan en un formato recuperable. Un atacante con acceso físico al CardioMessenger podría usar estas credenciales para la autenticación de red y descifrado de datos locales en tránsito. Se ha reservado el identificador CVE-2019-18256 para esta vulnerabilidad.

Encuesta valoración

Validación incorrecta de datos de entrada en Perseus A500 de Dräger

Fecha de publicación: 
19/06/2020
Importancia: 
3 - Media
Recursos afectados: 

Dräger Perseus A500, versiones de software desde la 2.00 hasta la 2.02.

Descripción: 

Se ha publicado una vulnerabilidad del tipo validación inadecuada de los datos de entrada en Dräger Perseus A500.

Solución: 

Actualizar a la versión de software 2.03.

Detalle: 

El producto afectado no valida correctamente ciertos datos específicamente diseñados que van a través de la interfaz Medibus. Esto podría permitir que la visualización de las curvas se retrase y, en última instancia, puede realizarse un inicio en caliente. Cuando se utilizan modos de ventilación controlados, un arranque en caliente hace que la presión de ventilación caiga hasta el nivel ambiente, lo que podría provocar un deterioro de la condición del paciente.

Encuesta valoración

Múltiples vulnerabilidades en Rockwell Automation FactoryTalk

Fecha de publicación: 
19/06/2020
Importancia: 
5 - Crítica
Recursos afectados: 

Se encuentran afectados por estas vulnerabilidades todas las versiones de FactoryTalk View SE y todas las versiones de FactoryTalk Services Platform.

Descripción: 

Rockwell Automation, junto con Trend Micro’s Zero Day Initiative, han publicado 5 vulnerabilidades, una de severidad crítica, 3 altas y una media, que permitirían que un atacante autenticado remoto manipule los datos de los dispositivos afectados, o que ejecute objetos COM remotos con privilegios elevados.

Solución: 

Para FactoryTalk View SE se recomienda instalar los parches 1126289 y 1126289. Antes de instalar dichos parches se debe aplicar el parche acumulativo 1066644 - Parche Roll-up para CPR9 SRx del 6 de abril de 2020.

Rockwell Automation recomienda también para FactoryTalk View SE habilitar las funciones de seguridad integradas, siguiendo la guía de los artículos 109056 y 1126943 de su base de conocimiento para configurar IPSec y / o HTTP.

En el caso de FactoryTalk Services Platform se recomienda utilizar el artículo 25612 de la base de conocimientos de Rockwell, para determinar si este producto está instalado. En cuyo caso se deben implementar una estrategia de comunicación segura como la indicada en el artículo 109056 de la base de conocimientos.

Detalle: 

Las vulnerabilidades encontradas en los productos de Rockwell Automation podrían permitir a un atacante acceder a información confidencial o no autorizada, realizar operaciones no permitidas dentro de los límites de un buffer de memoria, o modificar los permisos, controles y privilegios de acceso.

La vulnerabilidad más crítica de las encontradas (CVE-2020-12029) se produce al no validar correctamente el nombre de archivos dentro de un directorio del proyecto, pudiendo un atacante remoto no autenticado ejecutar un archivo diseñado y provocar una ejecución remota de código (RCE).

Los identificadores reservados a estas vulnerabilidades son CVE-2020-12029, CVE-2020-12031, CVE-2020-12028, CVE-2020-12027 y CVE-2020-12033.

Encuesta valoración

Vulnerabilidades en Iconics Genesis32 y Genesis64

Fecha de publicación: 
19/06/2020
Importancia: 
5 - Crítica
Recursos afectados: 

Los productos que utilizan GenBroker64, Platform Services, Workbench, FrameWorX Server con versión 10.96 o anteriores son:

  • GENESIS64,
  • Hyper historiador,
  • AnalytiX,
  • MobileHMI.

Los productos con GenBroker32 versión v9.5 y anteriores son:

  • GENESIS32,
  • BizViz.
Descripción: 

Investigadores de las empresas Claroty, Flashback, Incite y el Laboratorio Nacional Oak Ridge han descubierto diferentes vulnerabilidades en los productos de Iconics, que permitirían inyecciones remotas de código o ataques de denegación de servicio.

Solución: 

Iconics lanzará las versiones 10.96, 10.95.5 y 10.95.2 para Genesis64 que corrigen estas vulnerabilidades, y las versiones 9.4 y 9.5 para Genesis32.

Para más información, se recomienda acudir a la página web de Iconics.

Detalle: 

Las vulnerabilidades encontradas en los productos de Iconics podrían permitir ataques con escritura fuera de los límites, inyecciones de código o deserialización de datos no confiables.

La vulnerabilidad con mayor severidad es de carácter crítico y permitiría que un cliente WCF, especialmente diseñado, pudiera ejecutar comandos SQL arbitrarios de forma remota en el servidor Genesis64 FrameWorX.

Los identificadores asignados a estas vulnerabilidades son: CVE-2020-12011, CVE-2020-12015, CVE-2020-12009, CVE-2020-12013 y CVE-2020-12007. 

Encuesta valoración

Múltiples vulnerabilidades en varios productos de Mitsubishi Electric

Fecha de publicación: 
19/06/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • MC Works64, versiones 4.02C (10.95.208.31) y anteriores;
  • MC Works32, versión 3.00A (9.50.255.02).
Descripción: 

Varios investigadores han reportado 5 vulnerabilidades a ICONICS, una compañía del grupo Mitsubishi Electric, una con severidad crítica y 4 altas, de tipo escritura fuera de límites, deserialización de información no confiable e inyección de código.

Solución: 

Mitsubishi Electric recomienda actualizar a la última versión del software disponible.

Detalle: 
  • Un paquete de comunicación, especialmente diseñado, enviado a alguno de los productos afectados, podría causar una condición de denegación de servicio (DoS) o permitir la ejecución remota de código. Se ha reservado el identificador CVE-2020-12011 para esta vulnerabilidad.
  • Un paquete de comunicación, especialmente diseñado, enviado a los servicios de la plataforma MC Works64 afectada, podría causar una condición de denegación de servicio (DoS) debido a una deserialización incorrecta. Se ha reservado el identificador CVE-2020-12015 para esta vulnerabilidad.
  • Un paquete de comunicación, especialmente diseñado, enviado a la función Workbench Pack & Go del producto afectad MC Works64, podría permitir la ejecución remota de código debido a una deserialización incorrecta. Se ha reservado el identificador CVE-2020-12009 para esta vulnerabilidad.
  • Un mensaje, especialmente diseñado, enviado desde una función de cliente personalizada que interactúa con el servidor MC Works64 GridWorX afectado, podría permitir la ejecución de ciertos comandos SQL arbitrarios de forma remota y revelar datos internos, permitiendo la modificación de esos datos. Se ha reservado el identificador CVE-2020-12013 para esta vulnerabilidad.
  • Un paquete de comunicación, especialmente diseñado, enviado al servidor FrameWorX del producto afectado MC Works64, podría permitir la ejecución remota de código y causar una condición de denegación de servicio (DoS) debido una deserialización inadecuada. Se ha reservado el identificador CVE-2020-12007 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad en exacqVision de Johnson Controls

Fecha de publicación: 
19/06/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • exacqVision Web Service, versión 20.03.2.0 y anteriores;
  • exacqVision Enterprise Manager, versión 20.03.3.0 y anteriores.
Descripción: 

Una vulnerabilidad en exacqVision, de tipo verificación incorrecta de la firma criptográfica, podría permitir a un atacante, con privilegios de administrador, la ejecución de comandos del sistema operativo.

Solución: 
  • Actualizar a exacqVision Web Service, versión 20.06.2.0 o superior;
  • actualizar a exacqVision Enterprise Manager, versión 20.06.3.0 o superior.
Detalle: 

El software no verifica la firma criptográfica de los datos, lo que podría permitir a un atacante con privilegios administrativos descargar y abrir un archivo malicioso para ejecutar comandos del sistema operativo. Se ha reservado el identificador CVE-2020-9047 para esta vulnerabilidad.

Encuesta valoración