Fecha de publicaciĂłn: 19/11/2021
Importancia:
Alta
Recursos afectados:
- IntelliBridge EC 40 Hub, versiĂłn C.00.04 y anteriores;
- IntelliBridge EC 80 Hub, versiĂłn C.00.04 y anteriores;
- Centro de informaciĂłn al paciente iX (PIC iX), versiones B.02, C.02 y C.03;
- Efficia CM Series, revisiones de la A.01 a la C.0x y la 4.0.
DescripciĂłn:
Los investigadores Younes Dragoni, Andrea Palanca e Ivan Speziale de Nozomi Networks han reportado al CISA dos vulnerabilidades altas y otras tres medias, que podrĂan permitir a un atacante acceder a datos del paciente, establecer una condiciĂłn de denegaciĂłn de servicio, ejecutar software o modificar la configuraciĂłn del sistema.
SoluciĂłn:
Philips publicarĂĄ una actualizaciĂłn prĂłximamente, mientras tanto recomienda las siguientes medidas:
- Utilizar todos los productos de acuerdo a las especificaciones autorizadas por el fabricante, incluyendo el software y su configuraciĂłn, los servicios de los sistemas y la configuraciĂłn de seguridad.
- La red en la que se ubica el dispositivo mĂ©dico deberĂa estar lĂłgicamente o fĂsicamente aislada de la red hospitalaria, como se especifica en la guĂa Philips Patient Monitoring System Security for Clinical Networks.
Detalle:
- Una vulnerabilidad de credenciales embebidas y otra de omisiĂłn de autenticaciĂłn podrĂan permitir a un atacante ejecutar software, modificar la configuraciĂłn del sistema o tener acceso a archivos de datos del paciente. Se han asignado los identificadores CVE-2021-32993 y CVE-2021-33017.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-43548, CVE-2021-43552 y CVE-2021-43550.
Etiquetas:
Infraestructuras crĂticas, Sanidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.