Inicio / Content / Boletín de INCIBE-CERT del 20-12-2019

Boletín de INCIBE-CERT del 20-12-2019

Cifrado inadecuado en dispositivos médicos router Dual WAN de Philips

Fecha de publicación: 
20/12/2019
Importancia: 
3 - Media
Recursos afectados: 

Los dispositivos médicos que dispongan de router Dual Wan:

  • Veradius Unity (718132), vendidos entre 2016 y agosto de 2018, con las opciones inalámbrica o ViewForum;
  • Pulsera (718095) y Endura (718075), vendidos entre el 26 de junio de 2017 y el 7 de agosto de 2018, con las opciones inalámbrica o ViewForum.
Descripción: 

Daniel Yagudayev, del hospital Presbiteriano de Nueva York, ha reportado una vulnerabilidad criticidad media que afecta a dispositivos médicos de Philips. Un atacante adyacente podría comprometer la transferencia de datos inalámbricos.

Solución: 

Philips dispone de una solución para los usuarios que tienen las opciones inalámbricas o ViewForum en sus productos para actualizar la configuración del router Dual WAN. Para obtenerla, se deberá contactar con el servicio de atención al cliente de Philips.

Detalle: 

El software del router Dual WAN utiliza un esquema de cifrado débil para el nivel de protección requerido. Un atacante adyacente podría comprometer la transferencia de datos inalámbricos. Se ha reservado el identificador CVE-2019-18263 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad de Cross-Site Scripting en productos Reliable Controls

Fecha de publicación: 
20/12/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • MACH-ProWebSys y MACH-ProWebCom, todas las versiones anteriores a la 2.15 (versiones de firmware previas a la 8.26.4).
Descripción: 

Gjoko Krstic, de Applied Risk, ha reportado una vulnerabilidad que afecta a los dispositivos de Reliable Controls y que podría permitir, a un atacante remoto, la ejecución de comandos en nombre del usuario afectado.

Detalle: 

Un usuario autenticado haciendo clic en un enlace malicioso podría permitir a un atacante la ejecución de comandos en nombre del usuario afectado. Se ha asignado el identificador CVE-2019-18249 para esta vulnerabilidad.

Encuesta valoración

Denegación de servicio en productos de Moxa

Fecha de publicación: 
20/12/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • EDS-G508E Series, versión 6.0 y anteriores.
  • EDS-G512E Series, versión 6.0 y anteriores.
  • EDS-G516E Series, versión 6.0 y anteriores.
Descripción: 

Yuval Ardon y Matan Dobrushin han reportado una vulnerabilidad que podría permitir a un atacante denegar el servicio de los productos afectados.

Solución: 

Aplicar la actualización disponible en el centro de soporte técnico de Moxa.

Detalle: 

Los paquetes de diagnóstico del PROFINET DCE-RPC podrían provocar una condición de denegación de servicio en los productos afectados. Se ha asignado el identificador CVE-2019-19707 para esta vulnerabilidad.

Encuesta valoración

Desbordamiento de búfer basado en pila en PLC Editor de WECON

Fecha de publicación: 
20/12/2019
Importancia: 
4 - Alta
Recursos afectados: 

PLC Editor, versión 1.3.5_20190129.

Descripción: 

Francis Provencher (PRL) y Natnael Samson (Natti), de Trend Micro’s Zero Day Initiative, han reportado una vulnerabilidad de tipo desbordamiento de búfer basado en pila (stack).

Solución: 

WECON está desarrollando una solución. Para más información, contactar con la web de soporte de WECON.

Detalle: 

Un atacante podría explotar la vulnerabilidad detectada, de tipo desbordamiento de búfer basado en pila (stack), utilizando un archivo de proyecto, especialmente diseñado, para ejecutar código con los privilegios de la aplicación. Se ha reservado el identificador CVE-2019-18236 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: