Múltiples vulnerabilidades en dispositivos médicos portátiles Point of Care de Roche

Fecha de publicación 07/11/2018
Importancia
4 - Alta
Recursos Afectados
  • Accu-Chek Inform II.
  • CoaguChek Pro II, XS Plus y XS Pro.
  • cobas h 232 POC.
  • Se incluyen las unidades de base (BU), los núcleos de la unidad de base y las unidades de base portátiles (HBU) relacionadas con los equipos.
Descripción

El investigador Niv Yehezkel de Medigate ha identificado varias vulnerabilidades de tipo autenticación inadecuada, inyección de comandos en el sistema operativo, carga de ficheros potencialmente peligrosos sin restricción y control de acceso inadecuado que afectan a diferentes dispositivos médicos portátiles Point of Care de Roche. Un potencial atacante podría conseguir acceso no autorizado para modificar la configuración del sistema o la ejecución de código arbitrario.

Solución

Roche recomienda aplicar las siguientes medidas:

  • Dispositivos conectados (Ethernet y Wifi):
    • Restringir el acceso físico y de red al dispositivo y a la infraestructura conectada, habilitando las funciones de seguridad del dispositivo.
    • Proteger los dispositivos finales conectados de accesos no autorizados, robo y software malintencionado.
    • Monitorizar el sistema y la infraestructura de red en busca de actividades sospechosas e informar de un posible compromiso según la política local.
  • Dispositivos no conectados:
    • Proteger contra el acceso no autorizado, el robo y la manipulación.
Detalle
  • Un potencial atacante en una red adyacente podría aprovechar credenciales de acceso débiles para conseguir un acceso no autorizado mediante la interfaz de servicio. Se ha reservado el identificador CVE-2018-18561 para esta vulnerabilidad.
  • Los permisos inseguros en una interfaz de servicio pueden permitir que los atacantes autenticados en la red adyacente, ejecuten comandos arbitrarios en los sistemas operativos. Se ha reservado el identificador CVE-2018-18562 para esta vulnerabilidad.
  • Una vulnerabilidad en el mecanismo de actualización del software permite a un atacante en una red adyacente sobrescribir archivos arbitrarios en el sistema a través de un paquete de actualización manipulado. Se ha reservado el identificador CVE-2018-18563 para esta vulnerabilidad.
  • Un potencial atacante en una red adyacente podría ejecutar código arbitrario en el sistema mediante paquetes manipulados o cambiar la configuración del instrumento gracias a un control de acceso inadecuado. Se han reservado los identificadores CVE-2018-18564 y CVE-2018-18565 para estas vulnerabilidades.

Encuesta valoración

Listado de referencias
Medical Advisory (ICSMA-18-310-01) - Roche Point of Care Handheld Medical Devices
Etiquetas