Múltiples vulnerabilidades en Philips Intellispace Cardiovascular (ISCV)
Fecha de publicación 14/03/2025
Identificador
INCIBE-2025-0139
Importancia
4 - Alta
Recursos Afectados
Philips Intellispace Cardiovascular (ISCV):
- versiones 4.1 y anteriores;
- versiones 5.1 y anteriores.
Descripción
Joe Dillon informó de estas vulnerabilidades de severidad alta que, de ser explotadas, pueden permitir a un atacante reproducir la sesión del usuario ISCV conectado y obtener acceso a los registros del paciente.
Solución
Philips recomienda realizar las siguientes acciones para mitigar el problema:
- Para la vulnerabilidad CVE-2025-2230, actualizar a la versión ISCV 4.2 compilación 20589, que se lanzó en mayo de 2019.
- Para la vulnerabilidad CVE-2025-2229, actualizar a la versión ISCV 5.2, que se lanzó en septiembre de 2020.
- Actualizar la base instalada de ISCV a la última versión de ISCV (al momento de esta publicación es la 830089 – IntelliSpace Cardiovacular 8.0.0.0).
- Contactar con un representante local de ventas de Philips para obtener información sobre cómo realizar este proceso de actualización.
- Para los usuarios de servicios gestionados, las nuevas versiones estarán disponibles en función de la disponibilidad de los recursos. Las versiones y actualizaciones están sujetas a la normativa específica de cada país.
Detalle
El detalle de las vulnerabilidades es el siguiente:
- CVE-2025-2229: se crea un token utilizando el nombre de usuario, la fecha y hora actuales y una clave de cifrado AES-128 fija, que es la misma en todas las instalaciones.
- CVE-2025-2230: existe una falla en el flujo de inicio de sesión de Windows donde un token AuthContext puede ser explotado para ataques de repetición y omisión de autenticación.
Hasta la fecha Philips no ha recibido ninguna notificación de daños a pacientes, explotación de fallos o incidentes de uso clínico que puedan asociarse a estas vulnerabilidades.
Listado de referencias
