Fecha de publicación: 01/10/2021
Importancia:
Media
Recursos afectados:
ZOOM LATITUDE Programmer/Recorder/Monitor (PRM), modelo 3120.
Descripción:
Diversos investigadores han reportado a Boston Scientific cinco vulnerabilidades de severidad media que podrían permitir a un atacante obtener información o comprometer la integridad del dispositivo.
Solución:
El fabricante no desarrollará ningún parche, ya que pretende que sus usuarios migren al modelo 3300.
Como medidas de mitigación, recomienda:
- controlar el acceso al dispositivo,
- mantener el dispositivo en una ubicación segura cuando no esté en uso, y
- eliminar la información almacenada en el dispositivo antes de retirarlo de la instalación en planta. Las instrucciones para eliminar la PHI se encuentran en el manual del operador.
Detalle:
- Un atacante, con acceso físico al dispositivo, podría eliminar el disco duro o manipular un USB para extraer la contraseña hash mediante técnicas de fuerza bruta. Se ha asignado el identificador CVE-2021-38400 para esta vulnerabilidad.
- La falta de protección contra técnicas de ingeniería inversa por hardware podría permitir a un atacante, con acceso físico al dispositivo, crear un duplicado de una clave de hardware válida. Se ha asignado el identificador CVE-2021-38394 para esta vulnerabilidad.
- Un control de acceso inadecuado podría permitir a un atacante acceder al disco duro del dispositivo y cambiar ajustes de telemetría. Se ha asignado el identificador CVE-2021-38392 para esta vulnerabilidad.
- Una falta de comprobación de la autenticidad del cifrado o integridad del software de la unidad flash podría permitir a un atacante instalar software no autorizado mediante un USB manipulado. Se ha asignado el identificador CVE-2021-38396 para esta vulnerabilidad.
- El dispositivo afectado usa componentes software con vulnerabilidades sin parchear, lo que podría permitir a un atacante, con acceso físico, explotar alguna de ellas. Se ha asignado el identificador CVE-2021-38398 para esta vulnerabilidad.
Etiquetas:
Infraestructuras críticas, Sanidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.