OmisiĆ³n de autenticaciĆ³n en productos Welch Allyn Cardio de Hillrom

Fecha de publicaciĆ³n: 10/12/2021

Importancia:
Alta

Recursos afectados:

  • Welch Allyn Q-Stress Cardiac Stress Testing System: versiones 6.0.0 a 6.3.1;
  • Welch Allyn X-Scribe Cardiac Stress Testing System: versiones 5.01 a 6.3.1;
  • Welch Allyn Diagnostic Cardiology Suite: versiĆ³n 2.1.0;
  • Welch Allyn Vision Express: versiones 6.1.0 a 6.4.0;
  • Welch Allyn H-Scribe Holter Analysis System: versiones 5.01 a 6.4.0;
  • Welch Allyn R-Scribe Resting ECG System: versiones 5.01 a 7.0.0;
  • Welch Allyn Connex Cardio: versiones 1.0.0 a 1.1.1.

DescripciĆ³n:

Hillrom informĆ³ de esta vulnerabilidad alta a CISA cuya explotaciĆ³n podrĆ­a permitir a un atacante acceder a cuentas privilegiadas.

SoluciĆ³n:

Hillrom planea lanzar actualizaciones de software para solucionar esta vulnerabilidad en su prĆ³xima versiĆ³n de software.

Mientras tanto, Hillrom recomienda la siguiente soluciĆ³n y mitigaciĆ³n para reducir el riesgo de desactivar la funciĆ³n SSO en los respectivos ajustes de configuraciĆ³n del Modality Manager.

Detalle:

Esta vulnerabilidad, cuando el producto estĆ” configurado para utilizar SSO, podrĆ­a permitir que la aplicaciĆ³n acepte la entrada manual de cualquier cuenta de directorio activo (AD) aprovisionada en la aplicaciĆ³n sin suministrar una contraseƱa, lo que autorizarĆ­a el acceso a la aplicaciĆ³n como la cuenta AD suministrada, con todos los privilegios asociados. Se ha asignado el identificador CVE-2021-43935 para esta vulnerabilidad.

Encuesta valoraciĆ³n

Etiquetas:
Infraestructuras crĆ­ticas, Sanidad, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.