Múltiples vulnerabilidades en cardiógrafos PageWriter de Philips

Fecha de publicación: 17/08/2018

Importancia: Media

Recursos afectados:

  • PageWriter TC10, TC20, TC30, TC50, TC70 todas las versiones anteriores a mayo de 2018.

Descripción:

Philips ha reportado varias vulnerabilidades de tipo validación incorrecta de los datos de entrada y uso de contraseñas embebidas en sus cardiógrafos PageWriter. Una explotación exitosa de estas vulnerabilidades podría dar lugar a desbordamientos de búfer o a permitir a un atacante acceder y modificar ajustes en el dispositivo.

Solución:

Philips tiene planeada una actualización para corregir estas vulnerabilidades a mediados de 2019.

Philips también ha proporcionado la siguiente información con respecto a un sistema operativo que ya no está respaldado por el fabricante:

  • WinCE5 es un sistema operativo obsoleto, el cual ya no se encuentra respaldado por el fabricante y solo aplica a PageWriter TC20, TC30, TC50 y TC70.
  • PageWriter TC50 y TC70 soportan WinCE7 que se encuentra disponible en el InCenter del cliente. Philips recomienda sustituir los dispositivos TC20 y TC30 por el TC50 si están preocupados por el sistema operativo obsoleto. Para el dispositivo TC20 se lanzará una actualización a finales de 2019 para actualizarlo a un sistema operativo compatible.

Detalle:

  • El dispositivo PageWriter no realiza ninguna validación de los datos introducidos por el usuario. Esto puede dar lugar a vulnerabilidades de desbordamiento de búfer o ataques de formato de string. Se ha asignado el CVE-2018-14799 para esta vulnerabilidad.
  • Un atacante que descubra la contraseña embebida de superusuario y acceso físico, puede utilizarla para acceder y modificar todas las configuraciones en el dispositivo, así como reestablecer las contraseñas existentes. Se ha asignado el identificador CVE-2018-14801 para esta vulnerabilidad.

Etiquetas: Sistema Operativo, Vulnerabilidad