Fecha de publicación: 02/09/2022
Importancia:
Alta
Recursos afectados:
Contec Health CMS8000 CONTEC ICU CCU Vital Signs Patient Monitor.
Descripción:
Level Nine ha reportado 5 vulnerabilidades, 1 de severidad alta, 3 medias y 1 baja. Estas vulnerabilidades podrían permitir a un atacante causar una condición de denegación de servicio, modificar el firmware con acceso físico al dispositivo, acceder a un shell de root o emplear credenciales codificadas para realizar cambios de configuración.
Solución:
Contec Health no ha respondido a las solicitudes de colaboración con CISA para mitigar estas vulnerabilidades. Se invita a los usuarios de estos productos afectados a ponerse en contacto con Contec Health para obtener información adicional.
Se recomienda aplicar las medidas de mitigación descritas en el apartado 4 del aviso de CISA.
Detalle:
El dispositivo CMS800 falla al intentar analizar los datos de red maliciosos enviados por un atacante. Un atacante con acceso a la red podría emitir de forma remota una solicitud UDP maliciosa que bloquearía el dispositivo y requiere un reinicio físico, así como una condición de denegación de servicio masivo en todos los dispositivos CME8000 conectados a la misma red. Se ha asignado el identificador CVE-2022-38100 para la vulnerabilidad de severidad alta.
Para el resto de vulnerabilidades se han asignado los identificadores CVE-2022-36385, CVE-2022-38069, CVE-2022-38453 y CVE-2022-3027.
Etiquetas:
0day, Infraestructuras críticas, Sanidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.