Omisión de autenticación en productos Welch Allyn Cardio de Hillrom

Fecha de publicación: 10/12/2021

Importancia:
Alta

Recursos afectados:

  • Welch Allyn Q-Stress Cardiac Stress Testing System: versiones 6.0.0 a 6.3.1;
  • Welch Allyn X-Scribe Cardiac Stress Testing System: versiones 5.01 a 6.3.1;
  • Welch Allyn Diagnostic Cardiology Suite: versión 2.1.0;
  • Welch Allyn Vision Express: versiones 6.1.0 a 6.4.0;
  • Welch Allyn H-Scribe Holter Analysis System: versiones 5.01 a 6.4.0;
  • Welch Allyn R-Scribe Resting ECG System: versiones 5.01 a 7.0.0;
  • Welch Allyn Connex Cardio: versiones 1.0.0 a 1.1.1.

Descripción:

Hillrom informó de esta vulnerabilidad alta a CISA cuya explotación podría permitir a un atacante acceder a cuentas privilegiadas.

Solución:

Hillrom planea lanzar actualizaciones de software para solucionar esta vulnerabilidad en su próxima versión de software.

Mientras tanto, Hillrom recomienda la siguiente solución y mitigación para reducir el riesgo de desactivar la función SSO en los respectivos ajustes de configuración del Modality Manager.

Detalle:

Esta vulnerabilidad, cuando el producto está configurado para utilizar SSO, podría permitir que la aplicación acepte la entrada manual de cualquier cuenta de directorio activo (AD) aprovisionada en la aplicación sin suministrar una contraseña, lo que autorizaría el acceso a la aplicación como la cuenta AD suministrada, con todos los privilegios asociados. Se ha asignado el identificador CVE-2021-43935 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Infraestructuras críticas, Sanidad, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.