Inicio / Content / Boletín de INCIBE-CERT del 19-11-2021

Boletín de INCIBE-CERT del 19-11-2021

Múltiples vulnerabilidades en distintos productos de Philips

Fecha de publicación: 
19/11/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • IntelliBridge EC 40 Hub, versión C.00.04 y anteriores;
  • IntelliBridge EC 80 Hub, versión C.00.04 y anteriores;
  • Centro de información al paciente iX (PIC iX), versiones B.02, C.02 y C.03;
  • Efficia CM Series, revisiones de la A.01 a la C.0x y la 4.0.
Descripción: 

Los investigadores Younes Dragoni, Andrea Palanca e Ivan Speziale de Nozomi Networks han reportado al CISA dos vulnerabilidades altas y otras tres medias, que podrían permitir a un atacante acceder a datos del paciente, establecer una condición de denegación de servicio, ejecutar software o modificar la configuración del sistema.

Solución: 

Philips publicará una actualización próximamente, mientras tanto recomienda las siguientes medidas:

  • Utilizar todos los productos de acuerdo a las especificaciones autorizadas por el fabricante, incluyendo el software y su configuración, los servicios de los sistemas y la configuración de seguridad.
  • La red en la que se ubica el dispositivo médico debería estar lógicamente o físicamente aislada de la red hospitalaria, como se especifica en la guía Philips Patient Monitoring System Security for Clinical Networks.
Detalle: 
  • Una vulnerabilidad de credenciales embebidas y otra de omisión de autenticación podrían permitir a un atacante ejecutar software, modificar la configuración del sistema o tener acceso a archivos de datos del paciente. Se han asignado los identificadores CVE-2021-32993 y CVE-2021-33017.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-43548, CVE-2021-43552 y CVE-2021-43550.

Encuesta valoración