Inicio / Content / Boletín de INCIBE-CERT del 28-06-2019

Boletín de INCIBE-CERT del 28-06-2019

Control de acceso incorrecto en las bombas de insulina MiniMed de Medtronic

Fecha de publicación: 
28/06/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • MiniMed 508 en todas las versiones;
  • MiniMed Paradigm 511 en todas las versiones;
  • MiniMed Paradigm 512/712 en todas las versiones;
  • MiniMed Paradigm 712E en todas las versiones;
  • MiniMed Paradigm 515/715 en todas las versiones;
  • MiniMed Paradigm 522/722 en todas las versiones;
  • MiniMed Paradigm 522K/722K en todas las versiones;
  • MiniMed Paradigm 523/723 en la versión 2.4A o anteriores;
  • MiniMed Paradigm 523K/723K en la versión 2.4A o anteriores;
  • MiniMed Paradigm Veo 554/754 en la versión 2.6A o anteriores;
  • MiniMed Paradigm Veo 554CM y 754CM en la versión 2.7A o anteriores.
     
Descripción: 

Los investigadores independientes Nathanael Paul, Jay Radcliffe, Barnaby Jack, Billy Rios, Jonathan Butts y Jesse Young han detectado esta vulnerabilidad de criticidad alta. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante modificar o interferir en las configuraciones de la bomba de insulina o controlar la administración de esta.

Solución: 

Medtronic todavía no ha mitigado esta vulnerabilidad, pero aconseja a los pacientes afectados actualizar su bomba de insulina por un modelo más nuevo.

Detalle: 

Las bombas de insulina afectadas se comunican con otros dispositivos, por ejemplo glucómetros, utilizando una comunicación inalámbrica RF la cual no implementa correctamente la autenticación o autorización. Un atacante, dentro del radio de acceso, podría acceder a los modelos de bombas afectados y cambiar las dosis establecidas además de interceptar los datos. Se ha reservado el identificador CVE-2019-10964 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: 

Múltiples vulnerabilidades en WebAccess de Advantech

Fecha de publicación: 
28/06/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • WebAccess/SCADA versiones 8.3.5 y anteriores.
Descripción: 

Se han publicado múltiples vulnerabilidades en SCADA WebAccess del tipo salto entre directorios, desbordamiento de búfer, lectura fuera de los límites, escritura fuera de límites y desreferencia de puntero no confiable, que podrían permitir la divulgación de información confidencial, el borrado de archivos y la ejecución de código remoto.

Solución: 

Actualizar WebAccess a la versión 8.4.1

Detalle: 
  • Una vulnerabilidad de salto entre directorios, causada por una falta de validación en una ruta introducida por el usuario antes de ser aplicada a la operación de los archivos, podría permitir a un atacante borrar archivos con permisos de administrador. Se ha asignado el identificador CVE-2019-10985 para esta vulnerabilidad.
  • Múltiples vulnerabilidades de tipo desbordamiento de búfer de pila, causados por la falta de validación en la longitud de los datos introducidos por el usuario, podrían permitir a un atacante la ejecución de código remoto. Se ha asignado el identificador CVE-2019-10991 para esta vulnerabilidad.
  • Múltiples vulnerabilidades de tipo desbordamiento de búfer en memoria dinámica, causados por la falta de validación en la longitud de los datos introducidos por el usuario, podrían permitir a un atacante la ejecución de código remoto. Se ha asignado el identificador CVE-2019-10989 para esta vulnerabilidad.
  • Una falta de validación de los datos introducidos por el usuario podría permitir a un atacante la revelación de información. Se ha asignado el identificador CVE-2019-10983 para esta vulnerabilidad.
  • Una falta de validación de la longitud de los datos introducidos por el usuario podría permitir la ejecución de código remoto. Se ha asignado el identificador CVE-2019-10987 para esta vulnerabilidad.
  • Una vulnerabilidad de Desreferencia de puntero no confiable podría permitir a un atacante remoto la ejecución de código arbitrario. Se ha asignado el identificador CVE-2019-10993 para esta vulnerabilidad.

Encuesta valoración

Credenciales embebidas en MSC800 de SICK

Fecha de publicación: 
28/06/2019
Importancia: 
5 - Crítica
Recursos afectados: 

MSC800 versiones anteriores a la 4.0.

Descripción: 

Tri Quach del grupo Customer Fulfillment Technology Security (CFTS) de Amazon ha reportado una vulnerabilidad de tipo credenciales embebidas.

Solución: 

Actualizar el dispositivo MSC800 a la versión 4.0 o superior.

Detalle: 

Las versiones de firmware afectadas contienen una contraseña de cuenta de cliente embebida. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto, sin autenticación, modificar las configuraciones del dispositivo y/o interrumpir su funcionamiento. Se ha asignado el identificador CVE-2019-10979 para esta vulnerabilidad.

Encuesta valoración