Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad en dispositivos médicos SmartLinx Neuron 2

Fecha de publicación: 09/04/2019

Importancia: Alta

Recursos afectados:

  • SmartLinx Neuron 2 versión 6.9.1

Descripción:

El investigador Patrick DeSantis, de Talos Intelligence, ha descubierto una vulnerabilidad de tipo escape de entorno restringido en el producto SmartLinx Neuron 2 de Capsule Technologies, un ordenador clínico móvil que permite la recogida automática de datos de los signos vitales. Esto podría permitir a un atacante conseguir el control total de un dispositivo de confianza en la red interna de un hospital.

Solución:

  • Actualizar a la versión 10.1.

Detalle:

  • Este dispositivo consta de un entorno restringido, denominado modo kiosco, que previene que los usuarios puedan salir de las aplicaciones en ejecución y accedan al sistema operativo subyacente. Es posible conectar un teclado USB u otros dispositivos de tipo HID para, mediante una serie de pulsaciones de teclado, salir de este entorno restringido y acceder al sistema operativo Microsoft Windows con permisos de administrador. Este acceso podría proporcionar a un atacante el control total de un dispositivo de confianza en la red interna de un hospital. Se ha reservado el identificador CVE-2019-5024 para esta vulnerabilidad.

Etiquetas: Vulnerabilidad