Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad de autenticación inapropiada en Aestiva y Aespire Anesthesia de GE

Fecha de publicación: 15/07/2019

Importancia: Media

Recursos afectados:

GE Aestiva y GE Aespire, versiones 7100 y 7900.

Descripción:

El investigador Elad Luz, de CyberMDX, ha reportado esta vulnerabilidad, de tipo autenticación inapropiada. La explotación exitosa de esta vulnerabilidad permitiría a un potencial atacante remoto modificar los parámetros de los dispositivos afectados.

Solución:

GE recomienda a las organizaciones que posean un dispositivo vulnerable utilizar servidores de terminal seguros en el momento de conectarse a los puertos serie de los dispositivos afectados. GE Healthcare planea proporcionar actualizaciones e información de seguridad adicional sobre esta vulnerabilidad para los usuarios afectados en su web.

Detalle:

Se ha detectado una vulnerabilidad, de tipo autenticación inapropiada, en los dispositivos serie que se conectan a través de un servidor de terminal no seguro, agregado a una configuración de red TCP/IP. Esta vulnerabilidad permitiría a un atacante remoto modificar la configuración del dispositivo y silenciar las alarmas. Se ha asignado el identificador CVE-2019-10966 para esta vulnerabilidad.

Etiquetas: Sanidad, Vulnerabilidad