Home / Node / Boletín de INCIBE-CERT del 14-12-2018

Boletín de INCIBE-CERT del 14-12-2018

Salto de ruta en Mark VIe de GE

Publication date: 
12/14/2018
Importance: 
4 - Alta
Affected resources: 
  • Mark VIe, versiones desde la 03.03.28C hasta la 05.02.04C
  • EX2100e, EX2100e_Reg y LS2100e, versiones anteriores a la v04.09.00C
Description: 

El investigador Can Demirel de Biznet Bilisim ha reportado una vulnerabilidad de tipo salto de ruta que afecta a los dispositivos DCS Mark Vie de GE que podría permitir a un atacante acceder a datos del sistema, dando lugar a un escalado de privilegios y a un acceso sin autorización al controlador.

Solution: 

GE ha solucionado esta vulnerabilidad en la versión actual del software ControlST, la cual se encuentra disponible para usuarios registrados en el portal de GE Power ServiceNow

Detail: 
  • Un potencial atacante podría obtener acceso a información restringida aprovechando un fallo de restricción de salto de ruta. Se ha asignado el identificador CVE-2018-19003 para esta vulnerabilidad.

Encuesta valoración

Inyección de comandos de sistema operativo en cámaras IP E2 de Geutebrück GmbH

Publication date: 
12/14/2018
Importance: 
4 - Alta
Affected resources: 
  • Cámaras serie E2, versiones anteriores 1.12.0.25
Description: 
  • Un investigador Davy Douhine de RandoriSec ha identificado una vulnerabilidad de inyección de comandos de sistema operativo en las cámaras IP de la serie E2 de Geutebrück GmbH que podría permitir a un atacante remoto ejecutar comandos como usuario “root”.
Solution: 
  • Geutebrück GmbH ha publicado la versión de firmware 1.12.0.25
Detail: 
  • La configuración de DDNS en el panel de configuración de la cámara podría permitir a un atacante remoto ejecutar comandos como usuario “root”. Se ha reservado el identificador CVE-2018-19007 para esta vulnerabilidad.

Encuesta valoración

Falta de cifrado de datos sensibles en productos CareLink y Encore de Medtronic

Publication date: 
12/14/2018
Importance: 
3 - Media
Affected resources: 
  • CareLink 9790 Programmer, todas las versiones.
  • CareLink 2090 Programmer, todas las versiones.
  • 29901 Encore Programmer, todas las versiones.
Description: 

Los investigadores Billy Rios y Jonathan Butts de Whitescope LLC han identificado una vulnerabilidad de falta de cifrado de datos sensibles que pueden contener información médica protegida o información personal identificable, esto podría permitir a un atacante con acceso físico al dispositivo consultar esta información.

Solution: 
  • El dispositivo CareLink 9790 Programmer está obsoleto, Medtronic recomienda que ya no se utilice más. Además, la compañía recomienda para CareLink 2090 Programmer y 29901 Encore Programmer que se mantenga la información médica y personal almacenada en estos dispositivos el menor tiempo posible. También ha publicado un boletín de seguridad relacionado con este aviso.
Detail: 
  • Un atacante remoto podría aprovecharse de la falta de cifrado en datos sensibles para conseguir información médica y personal de los usuarios almacenados en los distintos dispositivos. Se ha reservado el identificador CVE-2018-18984 para esta vulnerabilidad.

Encuesta valoración