Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Infinity M300 de Dräger

Fecha de publicación 11/10/2019
Importancia
4 - Alta
Recursos Afectados

Infinity® M300 VG2.3.1 y anteriores.

Descripción

Dräger ha descubierto múltiples vulnerabilidades de tipo denegación de servicio y exposición de información que podría permitir a un atacante remoto causar una denegación de servicio en el dispositivo y obtener información transmitida a través de la red del hospital.

Solución

Dräger liberará en marzo del 2020 una actualización de software, la VG2.3.2.

Detalle
  • En el caso de que un atacante no autorizado ejecute un ataque de denegación de servicio en la red del hospital, la red Infinity podría comprometerse y suponer un reinicio de los productos Infinity M300 o una pérdida de su comunicación inalámbrica. Un reinicio lleva unos 30 segundos, tiempo durante el cual habrá una pérdida de monitorización del paciente, sin embargo, se reanudará de forma automática. La Infinity CentralStation alertará sonora y visualmente  cuando el Infinity M300 está desconectado.
  • Un ataque de denegación de servicio reiterado podría hacer que el Infinity M300 entre en un estado de error, requiriendo un reinicio manual.
  • En el caso de que un atacante no autorizado consiga acceder a la red del hospital y atacar la red Infinity, la información enviada entre el Infinity CentralStation y el Infinity M300 se vería comprometida, permitiéndole cambiar ajustes de las alarmas, apagarlas o poner el M300 en estado de suspensión o descarga.

Encuesta valoración

Etiquetas