Especialistas en concientización de ciberseguridad reportan el hallazgo de al menos 8 vulnerabilidades en algunos dispositivos de monitoreo para pacientes desarrollados por Philips. Acorde al reporte, la explotación de estas fallas permitiría el acceso no autorizado, monitoreo interrumpido y recolección de información de datos de pacientes.
Los productos afectados por estas fallas se enlistan a continuación:
- Patient Information Center iX (PICiX), versiones B.02, C.02, C.03
- PerformanceBridge Focal Point versión A.01
- IntelliVue MX100, MX400-MX850, and MP2-MP90, versiones N y posteriores
- IntelliVue X3 y X2 versiones N y posteriores
A continuación se presentan breves reseñas de las vulnerabilidades reportadas, además de sus respectivas claves de identificación y puntajes según el Common Vulnerability Scoring System (CVSS).
CVE-2020-16214: el software almacena la información proporcionada por el usuario en un archivo de valores separados por comas (CSV), pero neutraliza incorrectamente elementos especiales que podrían interpretarse como un comando cuando el archivo se abre con un software de hoja de cálculo, mencionan los expertos en concientización de ciberseguridad.
Esta falla recibió un puntaje de 4.2/10.
CVE-2020-16218: El software neutraliza incorrectamente la entrada controlable por el usuario antes de que se coloque en la salida que luego se utiliza como página web y se sirve a otros usuarios, lo que podría conducir al acceso no autorizado a los datos de los pacientes. La falla recibió un puntaje de 3.5/10.
CVE-2020-16222: El software no puede verificar la identidad del usuario de forma correcta, por lo que se expone el sistema a los actores de amenazas. La vulnerabilidad recibió un puntaje de 5/10, mencionan los expertos en concientización de ciberseguridad.
CVE-2020-16228: el software comprueba incorrectamente el estado de revocación de un certificado, lo que puede hacer que utilice un certificado comprometido. La vulnerabilidad recibió un puntaje de 6.0/10.
CVE-2020-16224: El software vulnerable puede analizar una estructura o mensaje formateado, pero no maneja adecuadamente un campo de longitud, lo que produce un reinicio arbitrario en el sistema objetivo.
La vulnerabilidad recibió un puntaje de 6.5/10.
CVE-2020-16220: El producto recibe una entrada de un formato adecuado, pero no valida o valida incorrectamente que la entrada cumple con la sintaxis correcta, lo que hace que el servicio de inscripción de certificados falle, dificultando la inscripción de nuevos dispositivos. La falla recibió un puntaje de 3.4/10.
CVE-2020-16216: La validación incorrecta de los datos recibidos por el sistema afectado podría conducir a una condición de denegación de servicio (DoS) a través de un reinicio del sistema. Esta vulnerabilidad recibió un puntaje de 6.5/10.
CVE-2020-16212: El producto expone un recurso a la esfera de control incorrecta, lo que proporciona a los actores de amenazas los recursos necesarios para acceder al sistema de forma indebida. La vulnerabilidad recibió un puntaje de 5.8/10.
Philips reconoció las fallas después de recibir el informe, anunciando que se lanzarían los parches requeridos a la brevedad. Las actualizaciones ya están disponibles, por lo que los administradores de implementaciones afectadas deben instarlas de inmediato.