Múltiples vulnerabilidades en distintos productos de Philips

Fecha de publicación: 19/11/2021

Importancia:
Alta

Recursos afectados:

• IntelliBridge EC 40 Hub, versión C.00.04 y anteriores;
• IntelliBridge EC 80 Hub, versión C.00.04 y anteriores;
• Centro de información al paciente iX (PIC iX), versiones B.02, C.02 y C.03;
• Efficia CM Series, revisiones de la A.01 a la C.0x y la 4.0.

Descripción:

Los investigadores Younes Dragoni, Andrea Palanca e Ivan Speziale de Nozomi Networks han reportado al CISA dos vulnerabilidades altas y otras tres medias, que podrían permitir a un atacante acceder a datos del paciente, establecer una condición de denegación de servicio, ejecutar software o modificar la configuración del sistema.

Solución:

Philips publicará una actualización próximamente, mientras tanto recomienda las siguientes medidas:

• Utilizar todos los productos de acuerdo a las especificaciones autorizadas por el fabricante, incluyendo el software y su configuración, los servicios de los sistemas y la configuración de seguridad.
• La red en la que se ubica el dispositivo médico debería estar lógicamente o físicamente aislada de la red hospitalaria, como se especifica en la guía Philips Patient Monitoring System Security for Clinical Networks.

Detalle:

• Una vulnerabilidad de credenciales embebidas y otra de omisión de autenticación podrían permitir a un atacante ejecutar software, modificar la configuración del sistema o tener acceso a archivos de datos del paciente. Se han asignado los identificadores CVE-2021-32993 y CVE-2021-33017.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-43548, CVE-2021-43552 y CVE-2021-43550.

Etiquetas:
Infraestructuras críticas, Sanidad, Vulnerabilidad