Inicio / Content / Boletín de INCIBE-CERT del 20-03-2020

Boletín de INCIBE-CERT del 20-03-2020

Control de acceso incorrecto en Omnipod Insulin Management System de Insulet

Fecha de publicación: 
20/03/2020
Importancia: 
4 - Alta
Recursos afectados: 

Las siguientes versiones del Omnipod Insulin Management System, de Insulet, están afectadas:

  • Product ID/Reorder, números 19191 y 40160;
  • UDI/Model/NDC, números ZXP425 (10-Pack) y ZXR425 (10-Pack Canada).
Descripción: 

La organización Thirdwayv Inc. ha reportado una vulnerabilidad de tipo control de acceso incorrecto. Esta vulnerabilidad podría permitir a un atacante acceder al producto e interceptar, modificar o interferir en la comunicación inalámbrica RF hacia o desde el producto.

Solución: 

El fabricante recomienda a los usuarios afectados que contacten con su proveedor para conocer el riesgo de continuar con su uso o poder cambiar al último modelo, que cuenta con mejoras en ciberseguridad. El fabricante también ha publicado información adicional acerca de esta vulnerabilidad. 

Detalle: 

El protocolo de comunicación del producto afectado no implementa autorización o autenticación. Esta vulnerabilidad podría permitir acceder a información sensible, cambiar la configuración de la bomba de insulina o controlar la administración de insulina. Se ha reservado el identificador CVE-2020-10597 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Medical Advisory (ICSMA-20-079-01) Insulet Omnipod
Etiquetas: 
Actualización
Sanidad
Vulnerabilidad

Vulnerabilidad en el servidor NDS-5000 de Systech Corporation

Fecha de publicación: 
20/03/2020
Importancia: 
3 - Media
Recursos afectados: 

NDS-5000 Terminal Server, NDS/5008 (Puerto 8, RJ45), versión del firmware 02D.30.

Descripción: 

El investigador, Murat Aydemir de Biznet Bilisim, ha reportado una vulnerabilidad de criticidad media. Un atacante remoto podría revelar información, limitar la disponibilidad del sistema y ejecutar código remoto.

Solución: 

Systech ha publicado el firmware (02F.6) que mitiga la vulnerabilidad. 

Detalle: 

El producto contiene una vulnerabilidad de tipo Cross-site Scripting (XSS) almacenado, lo que podría permitir a un atacante remoto realizar operaciones con privilegios de usuario, acceder a información sensible y ejecutar código en remoto. Se ha asignado el identificador CVE-2020-7006 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
Systech NDS-5000 Terminal Server
Etiquetas: 
Actualización
Vulnerabilidad

Ejecución de código arbitrario en UPS Companion Software de Eaton

Fecha de publicación: 
20/03/2020
Importancia: 
4 - Alta
Recursos afectados: 

UPS Companion Software, versiones 1.05 y anteriores.

Descripción: 

El investigador, Ravjot Singh Samra, ha reportado una vulnerabilidad de criticidad alta. Un atacante adyacente podría realizar una ejecución de código arbitrario.

Solución: 

El fabricante recomienda actualizar a la versión 1.06.

Detalle: 

El software afectado, no neutraliza o neutraliza incorrectamente la sintaxis del código antes de usar la entrada en una llamada de evaluación dinámica. Un atacante adyacente podría ejecutar código arbitrario en la maquina en la que el software está instalado. Se ha reservado el identificador CVE-2020-6650 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ETN-VA-2020-1001: Arbitrary code execution through “Update Manager” Class
Etiquetas: 
Actualización
Vulnerabilidad