Vulnerabilidad de autenticación inapropiada en Aestiva y Aespire Anesthesia de GE
- GE Aestiva y GE Aespire, versiones 7100 y 7900.
- [Actualización 24/07/2019]:GE Aestiva View, MR.
- [Actualización 24/07/2019]:GE Aespire 100, Protiva, Carestation, View.
- [Actualización 24/07/2019]:GE Aisys, Aisys CS2 Avance, Amingi, Avance CS2.
- [Actualización 24/07/2019]:GE Carestation 620, 650, 650c.
El investigador Elad Luz, de CyberMDX, ha reportado esta vulnerabilidad, de tipo autenticación inapropiada. La explotación exitosa de esta vulnerabilidad permitiría a un potencial atacante remoto modificar los parámetros de los dispositivos afectados.
GE recomienda a las organizaciones que posean un dispositivo vulnerable utilizar servidores de terminal seguros en el momento de conectarse a los puertos serie de los dispositivos afectados. GE Healthcare planea proporcionar actualizaciones e información de seguridad adicional sobre esta vulnerabilidad para los usuarios afectados en su web.
Se ha detectado una vulnerabilidad, de tipo autenticación inapropiada, en los dispositivos serie que se conectan a través de un servidor de terminal no seguro, agregado a una configuración de red TCP/IP. Esta vulnerabilidad permitiría a un atacante remoto modificar la configuración del dispositivo y silenciar las alarmas. Se ha asignado el identificador CVE-2019-10966 para esta vulnerabilidad.
