Múltiples vulnerabilidades en e-Alert Unit de Philips
- Philips e-Alert versión R2.1 y anteriores
Philips ha identificado varias vulnerabilidades, cuya explotación exitosa por parte de un atacante dentro de la misma subred, podría afectar o comprometer detalles de contacto de usuario y la integridad y/o la disponibilidad de los productos afectados. Estas vulnerabilidades podrían permitir a un atacante introducir datos de entrada inesperados en la aplicación, ejecutar código arbitrario, obtener información de la unidad o provocar que las unidades afectadas dejen de funcionar.
En junio de 2018 Philips lanzó la versión R2.1 la cual solucionaba algunas de estas vulnerabilidades. Para el resto de vulnerabilidades, Philips tiene planeada otra actualización de software para finales del 2018.
Philips comunicará las opciones de servicio a todos los usuarios afectados y recomienda visitar el sitio web de seguridad que poseen sus productos para obtener la última información de seguridad publicada sobre este asunto y para otros productos de Philips. La información se encuentra disponible en el siguiente enlace:
https://www.philips.com/productsecurity
Como una mitigación inmediata de las vulnerabilidades en la LAN hasta que se pueda aplicar la actualización, Philips recomienda a los usuarios:
- Asegurar la implementación de buenas prácticas de seguridad de red.
- Limitar el acceso a la red de e-Alert de acuerdo con la documentación del producto.
Los usuarios con preguntas sobre sus instalaciones específicas de e-Alert deben ponerse en contacto con su equipo de soporte de servicio local de Philips o con su servicio regional de soporte e-Alert. La información de contacto está disponible en la siguiente ubicación:
https://www.usa.philips.com/healthcare/solutions/customer-service-solutions
- Validación incorrecta de los datos de entrada: el software no realiza una validación correcta de los datos de entrada, permitiendo al atacante proporcionar datos de entrada de una forma que no es esperada por el resto de la aplicación. Esto llevaría a que partes de la unidad reciban una entrada involuntaria, lo que puede resultar en un flujo de control alterado, control arbitrario de un recurso o ejecución de código arbitrario. Se ha asignado el identificador CVE-2018-8850 para esta vulnerabilidad.
- Cross Site Scripting (XSS): el software no realiza un correcto filtrado de los parámetros de entrada. Este hecho permitiría a un atacante ejecutar código en el lado del cliente cuando una víctima acceda al servidor web mediante su navegador. Se ha asignado el identificador CVE-2018-8846 para esta vulnerabilidad.
- Permisos por defecto incorrectos: el software, al momento de la instalación, establece permisos incorrectos para un objeto que lo expone a un usuario no deseado. Se ha asignado el identificador CVE-2018-8848 para esta vulnerabilidad.
- Transmisión de información sensible en texto claro: el software transmite información sensible o de seguridad crítica en texto en claro en un canal de comunicación que puede ser capturado por un atacante. El canal de comunicación del producto no está cifrado lo que podría dar lugar a la divulgación de la información de contacto personal y de las credenciales de inicio de sesión de la aplicación dentro de la misma subred. Se ha asignado el identificador CVE-2018-8842 para esta vulnerabilidad.
- Consumo de recursos descontrolado: el software no restringe adecuadamente el tamaño o la cantidad de recursos solicitados por un usuario, lo cual puede utilizarse para consumir más recursos de los previstos. Se ha asignado el identificador CVE-2018-8854 para esta vulnerabilidad.
- Uso de contraseñas embebidas: el software contiene embebida la llave criptográfica que se usa para el cifrado de datos internos. Se ha asignado el identificador CVE-2018-8856 para esta vulnerabilidad.
Además de estas vulnerabilidades, también se han identificado otras de menor criticidad, para las que se han reservado los siguientes identificadores: CVE-2018-14803, CVE-2018-8844, CVE-2018-8852.
